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The invention concerns a terminal com- 
prising a terminal module (I) and a personal se- 
curity device (31). The terminal (1) is adapted 
for receiving requests from an application (Fap) 
implanted on an electronic unit in the form of 
high level requests independent of the module (1) 
and of said personal security device (31). One at 
least of the terminal module (1) and the personal 
security device (3 1) comprises a reprogrammable 
storage memory and means for executing a filter 
software (F) translating the high level requests 
into at least one of (i) at least one data exchange 
sequence between the terminal module (1) and 
the user or (ii) at least an elementary command 
or sequence of commands executable by the per- 
sonal security device, and means for protecting 
said filter software (F, 62) to prevent any modifi- 
cation of said software by a non-authorised per- 
son. The filter software comprises means for identifying and/or authenticating the origin of requests transmitted by said application (Fap) 
implanted in said unit. 
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Ce terminal comprend un module terminal (1) et un dispositif personnel de security (31). Le terminal (1) est adapt6 pour recevoir des 
requeues d'une application (Fap) implantee sur une unite" 61ectronique sous la forme de requetes de haut niveau ind6pendants du module (1) 
et dudit dispositif personnel de seoiritd (31). L'un au moins du module terminal (1) et du dispositif personnel de securitc (31) comprend 
une memoire reprogrammable de stockage et des moyens d'ex^cution d'un logiciel filtre (F) traduisant les requetes de haut niveau en au 
moins Tune de (i) au moins une s6quence d'echange de donnees entre le module terminal (1) et l'utilisateur ou (ii) au moins une commande 
elemental ou une sequence de commandes elementaires executables par le dispositif personnel de securite, ainsi que des moyens de 
protection dudit logiciel filtre (F, 62), pour empecher toute modification dudit logiciel par une personne non autons6e. Le logiciel filtre 
comprend des moyens d' identification et/ou d'authentification de rorigine des requetes emises par ladite application (Fap) implantee dans 
ladite unit6. ; _ 
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Terminal et systeme DQur la mise en oeuvre de transactions electroniques sprurk^ 

La prSsente invention concerne un terminal et un systeme pour la mise en oeuvre de 
transactions Electroniques securis^es. 

Les reseaux publics de transmission de donnees numeriques, tels que le reseau 
Internet, connaissent un developpement considerable. Cependant, Pun des freins qui 
5 limitent actuellement la mise en oeuvre de transactions electroniques sEcurisees sur ce type 
de reseau reside dans I'insuffisance des mecanismes de securite associes & de telles 
transactions, insuffisance qui se traduit par un manque de confiance des utilisateurs et 
op6rateurs de reseaux. 

Au sens de la pr£sente demande : 
10 - une transaction Slectronique designe un ^change d* informations, via un reseau public 

de transmission de donnees numeriques ou de telecommunications, soit entre deux ou 
plusieurs utilisateurs, soit entre un utilisateur et un fournisseur de services, 

- une fonction est un traitement effectue dans Pobjectif de rendre un serviced un utilisateur, 

- une application designe un ensemble coherent de services et de fonctions, 

1 5 - ('expression logiciel duplication designe le ou les logiciels necessaires pour mettre en 

oeuvre les fonctions relatives k une application donn6e, 

- une transaction securis^e est une transaction pour laquelle certaines mesures de 
s£curit£ sont prises, £ savoir P authentication des entites participant & la transaction, 
['integrity, la confidential ite, ('authenticity et Eventuellement la non repudiation des 

20 ^changes et operations effectuees dans le cadre de la transaction. 

De nombreuses applications necessitent que les transactions electroniques mises en 
ceuvre soient securis6es. II s'agit par exemple du controle d'acc^s & des ressources 
informatiques ou similaires, de la banque k domicile (consultation, mouvements de comptes 
bancaires, etc... par P intermedial' re du reseau telephonique ou d'lnternet), du commerce 
25 £lectronique (achat de biens ou services par !'interm6diaire d'un reseau public), du courrier 
electronique, du porte-mbnnaie electronique, etc... 

Ces applications, ainsi que d'autres, necessitant des transactions securisees sont bien 
connues des special istes de la technique et ne sont pas d6crites ici en details. 

Suivant leur nature, la securisation de ces applications necessite la mise en oeuvre d'un 
30 ou plusieurs services de security tels que : 

- I'authentification, qui permet de garantir I'identite d'une entite (une personne ou un systeme) ; 

- le contrdle d'acc£s, qui confere une protection contre Putilisation ou la manipulation 
non autoris^e de ressources ; 

- la confidentiality, qui interdit la divulgation de donnees £ des entites non autorisees ; 



WO 99/62037 PCT/FR99/01202 

2 

- Pintegrite de donnees, qui assure que des donnees n'ont pas <§t£ modifiees, supprim£es 
ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu'un participant k un echange de donnees ne pourra 
pas ulterieurement nier ('existence de cet ^change. 

5 La combinaison de deux techniques existantes permet d'envisager la mise en oeuvre 

de ces sen/ices de security offrant ainsi un niveau de securite suffisant pour effectuer des 
transactions electroniques. 
Ils'agitde: 

- la cryptographie k cle publique et cl6 priv^e, car elle permet de garantir la non 
1 0 repudiation et facilite la gestion des cl£s ; 

- la carte k circuit integr£ (ou "smart card") car elle est peu couteuse, facile k utiliser et 
sure gr^ce k des microprocesseurs specifiques dotes de protections materielles et logicielles 
permettant d'interdire Pacc6s en lecture et en Venture k leurs memoires. 

Les cartes k circuit int£gre offrent les services suivants : 
1 5 * Pauthentification du porteur ou utilisateur de la carte : cette operation permet d'authentifier le 

porteur k Paide d'un code confidentiel et k la carte d'accepter par la suite la mise en oeuvre 
d'operations telles que ('execution d'algorithmes, la lectune de cl£s secretes, la lecture et/ou I'Scriture 
de donnees dans la carte, qui peuvent en outre fitre soumises k d'autres conditions de security ; 

* la protection des donnees et fonctions stock£es sur la carte k circuit integre. L'acc£s k la 
20 carte peut Stre soumis k une authentification pr£alable de Pentite electronique demandant k y 

acc^der. Cette authentification exteme se fait gen£ralement en mode challenge/reponse. Dans ce 
cas, Pentite dispose d'un param&re secret, ci-apr£s appele egalement secret, qui lui permet de 
calculer, en fonction d'un challenge £mis par la carte, une r^ponse qui prouvera k la carte qu'elle 
est en possession du secret ; 
25 * execution d'algorithmes ayptographiques utilisant un param^tre secret memorise dans la 

carte (chiffrement, authentification de message, signature) ; 

* authentification interne. Ce service permet k une application d'authentifier la carte. Ce 
service est Pinverse d'une authentification exteme. La carte g£n£re une reponse en fonction d'un 
challenge refu et d'un secret stocke dans la carte. 

30 Les services offerts par la carte k circuit int6gr£ sont mis en oeuvre sur reception de 

commandes dites el^mentaires, l'ex£cution de la commande £lementaire provoquant Penvoi 
de reponses elementaires. Ces commandes £lementaires concernent, par exemple, des 
caiculs cryptograph iques, la lecture ou Tecriture de donnees secretes ou non, des 
interventions de Putilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
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transaction apr6s signature), les retours conformation vers I'utilisateur (affichage des 
messages k signer, par exemple). 

Certaines cartes offrent la possibility de verifier I'integrite, I'origine, voire la 
confidentiality des commandes envoyees k la carte. Ces services reposent sur des techniques 
5 d'authentification et de chiffrement des commandes. 

^utilisation qui est faite actuellement des cartes k circuit integrS (ou cartes k micro- 
circuit) offre un degr6 tr£s Sieve de securite car les transactions sont essentiellement mises en 
oeuvre sur des reseaux privSs et des terminaux (distributeurs automatiques de billets, 
terminaux points de vente par exemple) qui sont sous le contrdle d'une entite assurant la 
1 0 securite de I'ensemble du systeme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs n'ont pas acc&s au logiciel 
d'application, ni aux m&anismes de security matSriels et logiciels dont sont dotes les terminaux. 

Par contre, la mise en oeuvre de transactions securisees avec des cartes k circuit integre sur 
un reseau public suppose que les utilisateurs aient k leur disposition un module terminal lecteur 
1 5 de carte, 6tant donn£ que ces cartes k micro-circuit ne sont pas dotees d'une source d'Snergie 
electrique propre et que leur mise en oeuvre requiert un lecteur susceptible de les alimenter et 
d'&ablir une communication avec I'utilisateur et/ou des moyensSlectroniques exterieurs. 

A I'heure actuelle, pour r&iliser une transaction sur un reseau public, I'utilisateur 
dispose d'un terminal, qui peut etre un produit d£di6, un ordinateur personnel, ou un 
20 ordinateur personnel couple k une carte k circuit integr6 par un lecteur de carte. 

Dans tous les cas, le systeme de transactions k la disposition de I'utilisateur est en 
general constituS de : 

• un foumisseur de services applicatifs pouvant §tre, par exemple, un navigateur Internet, 
un logiciel de messagerie, un logiciel de banque k domicile ("Home banking"), 
25 • un foumisseur de services de securite de haut niveau permettant ['execution des 
m6canismes cryptdgraphiques de bas niveau requis par I'application. 

Le foumisseur de services applicatifs emet des requetes de services de security de haut 
niveau pour assurer la security des transactions mises en oeuvre. 

Dans le cas ou I'application est implantee sur I'ordinateur personnel de I'utilisateur, les 
30 services cryptographiques auxquels il est fait reference sont, par exemple, ceux dSfinis par la 
Societe RSA Laboratories dans son standard "PKCS 11 : Cryptographic Token Interface 
Standard", ou encore les services cryptographiques offerts par le systeme d'exploitation 
Windows NT de Microsoft, en particulier ceux proposes par I' Interface des programmes 
^application (API) "Crypto API". 
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Lorsque I'utilisateur ne dispose pas de lecteur de carte k circuit integre, les services 
cryptographiques sont realises de manure logicielle uniquement.. 

Lorsque I'utilisateur veut amEliorer la securite, i! utilise un lecteur de carte k circuit 
integre de type transparent connecte a son ordinateur. Un lecteur de carte de type 

5 transparent est en fait un boitier d'interface entre i'ordinateur et la carte k circuit integre qui 
permet de transmettre des commandes elementaires de I'ordinateur, provenant du 
fournisseur de services cryptographiques, vers la carte, et les rEponses Elementaires de la 
carte vers I'ordinateur. Un utilisateur peut, k I'aide de ce terminal, (constitue de son module 
terminal - ordinateur + lecteur - couple k sa carte) effectuer des transactions electroniques 

1 0 (commerce Electronique par exemple). 

Bien entendu, Pacc6s des utilisateurs k un tel terminal engendre des risques potentiels 
du point de vue de la sEcurite. 

Les risques encourus seront d'autant plus grands que les applications seront 
dEcentralisees. Et vice versa, les applications pourront Stre d'autant plus decentralisees, que 

15 les risques cdt6 terminaux seront maitrisEs. Par exemple, on peut envisager des applications 
de type porte-monnaie, dans lesquelles les transactions (dEbit de la carte acheteur/credit de 
la carte commergant) se feront de carte k carte, sans necessiter une consolidation des 
transactions au niveau d'un serveur central. 

II rEsulte de ce qui precede, qu'un terminal peut potentiellement contenir un 

20 ensemble d' informations, voire des logiciels, sur la confidentiality et I'integrite desquels 
repose la sEcuritE de Papplication. Comme exemple, on peut citer des cl6s secretes utilisees 
pour Pauthentification du module terminal vis-^-vis de la carte, ou pour le chiffrement de 
donnEes entre un serveur et le module terminal lecteur de carte. Or, un fraudeur peut 
profiter du fait d'avoir k sa disposition un terminal pour analyser son fonctionnement et 

25 acceder aux informations et logiciels confidentiels. 

II faut Egalement noter que les applications auxquelles il est fait reference ici, telles 
que le commerce ou le courrier Electronique, sont la plupart du temps mises en oeuvre k 
travers le reseau Internet. II est bien connu des experts qu'un ordinateur personnel ou PC 
connecte au rEseau Internet est tr6s vulnerable aux logiciels de type virus, qui peuvent etre 

30 installes et executes sur le PC de I'utilisateur sans mgme qu'il le sache et sans qu'il ait laissE 
un accEs physique k son ordinateur k qui que ce soit. Le cdte totalement invisible de ce type 
de menace reprEsente le r£el danger qui limite k I'heure actuelle le dEploiement des 
applications transactionnelles utilisant Internet. Les m&mes commentaires peuvent 
s'appliquer aux applications de commerce Electroniques envisagees k partir des reseaux 
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cables de television en utilisant des decodeurs ou "set-top box" raccord^s au poste de 
television et comportant un ou deux lecteurs de cartes k puce. 
Les risques au niveau du systeme sont alors les suivants : 

• Attaque sur l'int£grit£ du foumisseur de sen/ices cryptographiques et du fournisseur de 
5 services applicatifs visant a modifier le comportement du module terminal: a titre 

d'exemple, le module terminal est modify de manure a capturer les informations liees a la 
carte, stocker les informations obtenues pour ensuite les communiquer a un faux serveur. 
Cette attaque peut gtre rgalisee k I'insu de I'utilisateur legitime (substitution du module 
terminal de I'utilisateur ou prSt d'un module terminal modify). Cette attaque peut ensuite se 
10 generaliser sous la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidential ite du fournisseur de services cryptographiques, visant k se 
procurer les cl<§s cryptographiques qu'il manipule, lesquelles cl6s sont par exemple stockees 
sur le disque dur d'un ordinateur. 

• Attaque vis-a-vis d'autnes cartes, bas£e sur une capacity k pouvoir s'authentifier vis-a-vis de ces 
1 5 cartes, grace aux secrets decouverts par une attaque sur la confidentiality du foumisseur de services. 

• Attaque sur rintegrite et la confidential ite des communications entre les differentes 
entites (foumisseurs de services applicatifs, foumisseurs de services cryptographiques, 
lecteur de carte k circuit int6gr6, carte k circuit integre, serveur) permettant de rompre la 
chaine de confiance etablie entre ces elements . Par exemple: 

20 1 - dechiffrement des communications entre serveur et terminaux ; 

2 - insertion d'un logiciel tiers entre le foumisseur de sen/ices applicatifs et le foumisseur de 
services cryptographiques visant k nompre la chaine de confiance entre ces deux logiciels ou bi'en 
substitution du logiciel applicatif par un logiciel tiers visant k faire executer au foumisseur .de 
services de s6curit£ des nequStes de security dans un but different de celui de ('application 

25 connuede I'utilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode connecte) : connexion 
d'un terminal contrefait k un serveur, Emulation d'un couple module terminal-carte k circuit 
int£gr£ pour obtenir des avantages. 

Ainsi, une attaque sur la chaine de confiance entre le fournisseur de services 
30 cryptographiques et le fournisseur de services applicatifs, dans le cadre d'une application 
requ£rant la signature d'une transaction 6lectronique k I'aide d'une carte a circuit integre, est 
illustree ci-apr^s. Le d£roulement de la transaction est le suivant : 

- Etape 1 : verification du code confidentiel personnel (PIN) de I'utilisateur, que celui- 
ci introduit par un clavier assocte k son module terminal, le code introduit etant transmis a la 
35 carte pour verification par cette derntere. 
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- Etape 2 : authentification du module terminal. Ce dernier envoie une commande 
"demande challenge". (Un challenge est un nombre aleatoire ou pseudoaleatoire). La carte 
k circuit integn* g£n£re le challenge et le transmet au module terminal. Le module terminal, 
envoie k la carte une commande "authentification externe" accompagnee d'une r£ponse 

5 constituee du challenge chiffte par une cle d&enue par le module terminal. La carte k circuit 
integre verifie alors la reponse reg ue. 

- Etape 3 : si les Stapes 1 et 2 se sont deroulees de manure satisfaisante, la carte k 
circuit integre est pr£te k recevoir et executer la commande signature, c'est-£-dire une 
commande de chiffrement, au moyen d'une cle privee stockee dans ia carte, du resultat 

10 d'une operation de hachage r<§alisee sur la transaction saisie par I'utilisateur. Apr£s ce 
chiffrement, la carte £met, k destination du module terminal, la signature constituee du 
resultat de ('operation de hachage ("hash") ainsi chiffn*. 

Si Pintegrite du logiciel duplication (foumisseur de services applicatifs et son 
fournisseur de services cryptographiques) n'est pas assume, un fraudeur n'a pas besoin de 

15 connaitre les c!6s et codes secrets pour pirater le systeme de transaction : il lui suffit 
d'implanter dans le module terminal, par exemple dans Pordinateur personnel auquel est 
raccorde un lecteur de carte k circuit integr6, un logiciel de type virus qui, k Petape 3, 
detourne les donnees authentiques k signer et envoie k la carte des donn£es falsifiees. Etant 
donne que les Stapes 1 et 2 se sont deroulees de manure satisfaisante, la carte signera alors 

20 les donnees falsifies sur la base du PIN que I'utilisateur a lui-meme introduit et celui-ci 
croira que la carte va signer ses propres donnees. 

L'exemple pr£cedant montre la necessity de proteger non seulement les informations 
confidentielles mises en oeuvre dans le cadre d'une transaction, mais aussi Pintegrite de la 
transaction, c'est-a-dire I'integrite du comportement de chaque entite intervenant dans la 

25 transaction, ainsi que I'integrite du comportement d'ensemble du logiciel en veillant k la non 
rupture de la chaTne de confiance 6tablie entre les differentes entites. 

Les risques d'attaque mentionn£s ci-dessus sont k Pheure actuelle en partie couverts 
par des terminaux - lecteurs de carte k circuit integre integrant des modules de securite 
(SAM, analogue k une carte k circuit integre) qui sont utilises notamment dans le cadre des 

30 applications porte-monnaie. Le lecteur est alors personnalise par un SAM, et attribue k un 
commer^ant, les cartes lues 6tant celles des clients. Ce SAM contient des informations 
secretes et est susceptible d'ex^cuter des algorithmes utilisant ces informations secretes. 
Mais, il ne contient pas de moyens permettant notamment de piloter les communications 
avec I'utilisateur, avec la carte k circuit integte et/ou avec des moyens 6lectroniques 

35 exterieurs, et done la s£curisation de transaction n'est pas assutee. 
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II est egalement connu par le document WO 95/04328 un module terminal 
comprenant des moyens d'interface avec I'utilisateur et des moyens d'interface avec des 
moyens electroniques exterieurs (ci-apr£s appel£s moyens d'interface externe), comportant 
une interface avec une carte k micro-circuit. Le microprocesseur* du module terminal 
5 comprend des moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnees 
stock6es en memoire permanente (ROM) comprennent entre autres un systeme 
d'exploitation, des gestionnaires de composants externes pilotant les interfaces et 
peripheriques, et un interpr&eur capable d'interpr&er des modules programmes ecrits dans 
un langage sp6cifique. Les modules programmes sont stocks dans la memoire semi- 

10 permanente EEPROM et peuvent Stre charges en memoire temporaire RAM pour gtre 
executes par le microprocesseur lors de I'activation d'une interface appropriee par 
I'utilisateur. Les modules programmes, correspondant aux applications du module terminal, 
sont t£lecharg6s dans la memoire EEPROM du microprocesseur ou dans une carte a micro- 
circuit k partir d'un serveur exteme. 

15 Le module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module terminal executant un 
module programme stocks dans une memoire interne, sans fiaire appel k une carte k circuit integne ; 

- en mode terminal autonome, dans lequel un module programme stocke dans une carte 
est execute ; 

20 • - en mode terminal £tendu ou connecte, dans lequel le microprocesseur du module terminal ou 
celui de la carte execute un module programme et une communication est etablie via le 
telephone, un modem ou une liaison directe avec un foumisseur de services ou un serveur ; 

en mode lecteur de carte a memoire transparent, dans lequel des instructions revues par 
une liaison s6rie sont transmises directement k la carte et vice et versa. 

25 Le terminal decrit au document WO 95/04328 ne traite pas des probtemes de securite 

vises par ['invention dans la mesure ou il ne dScrit pas comment securiser une transaction en 
garantissant I'integrite du comportement d'ensemble du logiciel executant la transaction. II ne 
d&zrit notamment pas de moyens permettant I'exScution de requ&es de haut niveau Smises par 
('application, ni comment garantir I'origine, I'int£grit6 et la confidentiality de ces moyens. 

30 La prSsente invention vise k fournir un terminal pour la mise en oeuvre de transactions 

Electroniques securis£es, du type comprenant un dispositif personnel de securite tel qu'une 
carte k circuit int6gr6 ou autre dispositif remplissant les memes fonctions, et un module 
terminal dote de moyens d'interface avec le dispositif personnel de securite, tels qu'un 
lecteur de carte k circuit int6gr6, et offrant de par son architecture logicielle et/ou materielle 

35 et les mEcanismes de s6curit6 qu'il comporte, un niveau de securite ameliore, compatible 
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avec le fait que le terminal peut Stre place* sous le contrfile des utilisateurs, (par opposition k 
des terminaux centrales par des opErateurs). 

Un deuxteme objectif de ('invention est d'assurer ce mgme niveau de securite tout en 
permettant ('integration, en cours d'utilisation, de fonctions ou applications nouvelles, ou 
5 I Evolution des fonctions ou applications existantes sans avoir recours k une multitude de 
modules terminaux differents ou au changement des modules terminaux lors des Evolutions. 

A cet effet, I'invention a pour objet un terminal pour la mise en ceuvre, par un 
utilisateur, de transactions 6lectroniques s6curis£es en liaison avec au moins une application 
implantee sur une unite electronique, ledit terminal comprenant : 
10 - un module terminal comportant au moins : 

• des premiers moyens d'interface avec ladite application pour en recevoir des 
requites relatives auxdites transactions, 

• des deuxtemes moyens d'interface avec ledit utilisateur, 

• des troistemes moyens d'interface avec un dispositif personnel de securite, 

15 • des premiers moyens detraitement de donnees comprenant au moins des premiers 

moyens logiciels de pilotage desdits moyens d'interface, et 
- un dispositif personnel de securite comportant au moins des deuxiemes moyens de 
traitement de donnees securisSes comprenant au moins des deuxiemes moyens logiciels 
d'exgeution de commandes elementaires et des moyens d'exe§cution de calculs 
20 cryptograph iques, caracterisE en ce que : 

* ledit terminal est adapts pour recevoir lesdites requetes de ladite application 
implantee sur ladite unite' electronique sous la forme de requites de haut niveau 
independantes dudit dispositif personnel de securite, 

* Tun au moins dudit module terminal et dudit dispositif personnel de securite comprend : 
25 • au moins une memoire reprogrammable de stockage d'au moins un logiciel fiitre, 

traduisant lesdites requfites de haut niveau en en au moins Tune de : 

(i) au moins une commande 6l£mentaire ou une sequence de commandes 

6tementaires executables par lesdits deuxiemes logiciels desdits deuxtemes 

moyens de traitement de donnSes, ou 
30 (ii) au moins une sequence d'Schange de donnees entre ledit module terminal et 

ledit utilisateur via lesdits seconds moyens d'interface, ledit echange de donnees 

etant execute par lesdits premiers moyens logiciels desdits premiers moyens de 

traitement de donnees, 
• des moyens de protection dudit logiciel fiitre pour empgeher toute lecture 
35 et/ou modification dudit logiciel par une personne non autorisee, et 
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* Tun au moins desdits premiers et deuxi£mes moyens de traitement de donnees 
comprend un dispositif de traitement de donnees pour ('execution dudit logiciel filtre. 
invention d^finie ci-dessus permet d'atteindre les objectifs de security requis par la 
mise en oeuvre de transactions dectroniques grace au fait qu'elle d£crit un filtre ou pare-feu 
5 C firewall ") entre le monde exterieur, c'est-£-dire les applications elles-memes, et les 
moyens de s<§curit£ et p£riph6riques qu'il g6re, au moyen d'une interface logique permettant 
la definition du format des requites de haut niveau 6mises par les applications et d'un 
logiciel de traduction assurant le traitement de ces requites. 

De preference, le terminal suivant ^invention comprend une ou plusieurs des 
10 caracteristiques suivantes, 6ventuellement combines : 

- ledit dispositif d'ex^cution du logiciel filtre comprend des premiers moyens 
d' identification et/ou d'authentification de ladite application implant£e dans ladite unite ou 
de I'origine desdites requ&es emises par ladite application ; 

- ledit dispositif de traitement de donnees pour l'ex6cution dudit logiciel filtre comprend 
15 des moyens de verification de Pintegrite des donnees refue de ladite application ; 

- ledit dispositif de traitement de donnees pour l'ex£cution dudit logiciel filtre comprend 
des moyens centralises de contrdle des conditions d'utilisation des services du dispositif 
personnel de security, en fonction de ladite application et/ou dudit utilisateur ; 

- ledit dispositif de traitement de donnees pour ('execution dudit logiciel filtre comprend : 
20 • des moyens pour commander le chargement secur.ise dudit logiciel filtre dans 

ladite m^moire programmable, via I'un desdits premiers ou troistemes moyens 
d'interface, k partir d'une entity ext£rieure audit module; et 
• des premiers moyens de contrdle d'accfes pour n'autoriser ledit chargement dudit 
logiciel filtre qu'en reponse k au moins une condition predefinie ; 
25 - le terminal comprend des deuxtemes moyens d'authentification desdits premiers 
moyens de traitement de donnees par lesdits deuxtemes moyens de traitement de donn£es ; 

- le terminal comprend des troistemes moyens d'authentification desdits deuxtemes 
moyens de traitement de donnees par lesdits premiers moyens de traitement de donnees ; 

- le terminal comprend un premier canal de communication.' entre lesdits premiers et 
30 deuxtemes moyens de traitement de donnees et des premiers moyens de securisation dudit 

premier canal de communication ; 

- le terminal comprend des quatrteme moyens d'authentification dudit module terminal 
par ledit utilisateur, ind£pendamment de ladite carte ; 

- lesdits quatrtemes moyens d'authentification comprennent des moyens de calcul, par 
35 lesdits premiers moyens de traitement de donnees, et de presentation audit utilisateur, via 
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lesdits deuxifeme moyens d'interface, d'un mot de passe connu dudit utilisateur et calculi sur 
la base d'au moins un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinquiemes moyens d'authentification conjointe dudit module 
5 terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des moyens de calcul, par 
ledit dispositif d'execution dudit logiciel, et de presentation audit utilisateur, via lesdits 
deuxiemes moyens d'interface, d'un mot de passe connu dudit utilisateur et calcuie sur la 
base d'au moins un deuxteme et un troisteme parametres secrets stockes respectivement 

10 dans lesdits premiers et deuxiemes moyens de traitement de donnees, 

Selon une premiere forme de realisation de 1'invention, le module terminal est 
constitue par un ordinateur personnel et ladite memoire programmable est constitute par le 
disque dudit ordinateur, ledit logiciel filtre est execute sur I'ordinateur personnel ou bien 
dans un deuxteme mode d'execution, ladite m£rnoire programmable est implantee sur un 
15 serveur securise relit h I'ordinateur personnel, la partie du logiciel filtre devant etre protege 
etant extcutte sur ledit serveur securise. 

Selon une deuxitme forme de realisation de ('invention, le module terminal est un 
dispositif, tel qu'un lecteur dedie de carte k circuit integre, auquel cas ledit dispositif 
personnel de security est une carte & circuit integre, ou un ordinateur personnel. Ce mode de 
20 realisation se difference du precedent par le fait que ladite memoire programmable est 
integree dans un microprocesseur securise, ledit logiciel filtre etant execute dans ledit 
microprocesseur securise. Le module terminal dedie peut eventuellement etre portable. 

Selon les modes d'execution de cette deuxitme forme de realisation de I'invention, la 
mtmoire programmable pour le chargement et le stockage du logiciel filtre peut etre 
25 disposee dans le dispositif personnel de securite ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour ('execution du 
logiciel filtre et le pilotage des interfaces, ou bien deux microprocesseurs remplissant 
respectivement Tune et Pautre de ces deux fonctions. 
30 - de preference ledit logiciel filtre comprend au moins un parametre secret et lesdits 

deuxiemes moyens de traitement de donnees comprennent des seconds moyens de contrfile 
d'accts conditionnels pour n'autoriser ('execution desdits calculs cryptographiques, en 
reponse & des commandes eiementaires generees par ledit logiciel filtre, que si au moins une 
seconde condition predefinie, fonction dudit parametre secret est remplie 
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Selon d'autres caracteristiques de Pinvention, lorsque le module terminal comporte 
deux microprocesseurs pour ('execution du logiciel filtre et le pilotage des interfaces : 

- le terminal comprend un deuxi£me canal de communication entre lesdits premiers 
moyens logiciels de pilotage des moyens d'interface et ledit deuxteme microprocesseur et 

5 des deuxtemes moyens de securisation dudit deuxteme canal de communication ; 

- lesdits deuxtemes moyens de securisation comprennent des moyens de chiffrement 
et dechiffrement, par lesdits premiers moyens logiciels de pilotage des moyens d'interface et 
ledit deuxteme microprocesseur, des donnees transmises sur ledit deuxteme canal de 
communication, sur la base d'au moins un cinquteme param^tre secret memorise dans 

1 0 lesdits premiers et deuxtemes moyens de traitement de donnees ; 

- lesdits deuxi£mes moyens de securisation comprennent des premiers moyens 
physiques de protection dudit deuxteme canal de communication contre les intrusions. 

Differents modes de realisation de ('invention seront maintenant d^crits en se referant 
aux dessins annexes, en particulier des modes de realisation dans lesquels le logiciel filtre est 
15 charge et execute dans le terminal de manure k garantir a la fois son origine, sa 
confidentiality et son integrite, ce logiciel pouvant aussi authentifier I 'origine des requites 
qui lui sont envoyees, si la confiance dans les interfaces avec I'utilisateur, c'est-S-dire I'ecran 
et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant I 'architecture fonctionnelle d'un systeme pour la 
20 mise en ceuvre de transactions securis6es au moyen d'un terminal selon ('invention ; 

- la Figure 2A presente une premiere forme de realisation de Pinvention ou le terminal 
est un ordinateur personnel couple 4 une carte £ circuit integre par un lecteur, ('application 
pouvant §tre elle m£me implantee sur I'ordinateur personnel ou sur un serveur distant. 

- la Figure 2B decrit I'architecture fonctionnelle d'une variante d'execution de la 
25 premiere forme de realisation de Pinvention, dans laquelle I'ordinateur personnel servant de 

terminal est en liaison avec un serveur de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace £ un terminal 
selon une deuxieme forme de realisation de Pinvention, qui peut etre un produit dedie relie 
en tant que peripherique £ un ordinateur personnel ou directement k un serveur ou bien 

30 construit autour d'un ordinateur personnel ; 

- la Figure 4A est un schema bloc de ['architecture materielle des circuits 
electrpniques d'un premier mode d'execution du terminal de la figure 3 ; 

- la Figure 4B est un schema fonctionnel illustrant une premiere configuration 
d' architecture logicielle du terminal de la figure 4A ; 
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- la Figure 4C est un schema foncttonnel similaire a celui de la figure 4B presentant 
une seconde configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de Parchitecture materielle des circuits electroniques 
d'un deuxteme mode d'execution du terminal autonome de la figure 3 ; 

5 - la Figure 6 est un schema bloc de Parchitecture materielle des circuits Electroniques 

d'un troisi&me mode d'execution du terminal autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant Parchitecture logicielle conventionnelle d'une 
carte a micro-circuit; 

- la Figure 8A est un schema illustrant Parchitecture logicielle d'un systeme de 
10 transaction comprenant le terminal de la figure 4A ; 

• la Figure 8B est un schema illustrant Parchitecture logicielle d'un systeme de 
transaction comprenant le terminal de la figure 6 ; 

- la Figure 9 est un diagramme illustrant la mise en oeuvre d'une application de 
commerce electronique au moyen d'un systeme selon Pinvention ; et 

15 - la Figure 10 est un organigramme illustrant le processus de telechargement d'un 

programme dans une memoire reprogrammable du module terminal de la figure 4A ou 5, 
ou d'une carte k micro-circuit connectee k celui-ci ; 

En se referant £ la figure 1, un systeme de mise en ceuvne de transactions s£curis£es 
comprend un module terminal 1 de lecture d'une carte k circuit integr£ 31 ou equivalent. Le 

20 module terminal 1 comprend un filtre F constituS d'un module logiciel traitant des requetes de 
haut niveau emises par des foumisseurs de services applicatifs FAp extemes au module terminal 1 
au moyen d'une interface logique F-API, et des interfaces utilisateur telles qu'un ecran d'affichage 
4 et un clavier 5 penmettant la lecture et Introduction de donnees par un utilisateur. II comprend 
£galement un lecteur ou interface de communication 6 avec une carte k micro-circuit ou tout 

25 dispositif de s^curite equivalent personnel k Putilisateur, du type jeton (token), • JavaRing * 
(produit de la societe SUN), * iButton * (produit de la societe Dallas Semiconductor Corporation), 
jeton logiciel (soft token), ainsi que des interfaces de communication avec au moins un 
foumisseur de services applicatifs FAp qui peut, par exemple, fitre implante sur un ordinateur 
personnel PC et/ou sur un serveur Sap , Pechange de donnees s'effectuant alors via un reseau R 

30 de transmissions de donnees ou de telecommunications. 

Le module terminal 1 peut £tre un terminal dedte ou 6tre integre dans un ordinateur 
personnel de type PC, ou bien dans un ordinateur-terminal NC d6di6 aux applications en reseau 
(Network Computer) ou encore dans un dGcodeur de reseau de television cable (Set Top Box). 
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Le module terminal 1 peut Sventuellement Stre utilise en mode autonome, par exemple 
pour lire des informations, telles que le contenu d'un porte-monnaie Slectronique, contenues 
dans une mSmoire de la carte 3 1 . 

Pour la mise en oeuvre de transactions sScurisSes, le module terminal 1 peut Stre 
5 . utilise en mode connects avec un serveur Sap ou en mode non connects, I'application FAp 
Stant alors exScutSe localement, par exemple sur Tordinateur personnel PC : Tel est le cas, 
par exemple, lorsqu'un utilisateur doit signer un courrier Slectronique ou des transactions 
qui seront envoySes k un destinataire. Une telle operation n'implique pas de connexion avec 
un serveur applicatif au moment ou la carte 3 1 est utilisee. 

10 En mode connects, comme represents k la figure 3 dans le cas d'un module terminal 1 

dSdiS, celui-ci peut etre connects au serveur Sap sur lequel est implante I'application FAp 
par I 1 intermedial re de Tordinateur PC et d'un rSseau R tel qu'lnternet, ou par T intermediate 
du rSseau tSISphonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un porte-monnaie 

15 Slectronique dans la carte 31, peuvent nScessiter un Schange bidirectionnel de donnees 
avec le serveur Sap et sont, par consequent, plus ergonomiques en mode connects. 

La mise en oeuvre d'une transaction sScurisSe avec un module terminal 1 et une carte 3 1 
implique que des requStes logicielles de haut niveau (par exemple des requites de signature, 
d'authentification , etc... qui doivent etre traitSes de maniSre k satisfaire les objectifs de sScuritS 

20 requis du programme applicatif) soient transmises du programme applicatif implante par 
exemple dans le serveur Sap (mode connects) ou dans Tordinateur personnel PC ou NC k la 
disposition de Tutilisateur (mode non connects, par exemple signature de courrier 
Slectronique), au filtre F assurant le pilotage des moyens de sScuritS. Ce filtre F effectue le 
traitement de ces requStes au moyen d'un logiciel de traduction, s'assurant ainsi que 

25 I'application ou tout autre logiciel de type virus ne peuvent avoir un accSs direct aux fonctions 
ayptographiques de la carte h circuit intSgrS 31. Le traitement des requStes de haut niveau 
comprend la traduction de ces requStes en une commande SlSmentaire ou une sSquence de 
commandes Slementaires qui sont exScutSes par le dispositif personnel de sScurite. Les 
requStes de haut niveau sont formulSes indSpendamment de la configuration matSrielle et/ou 

30 logicielle du dispositif personnel de sScuritS, c'est-cnjire qu'elles ne sont pas formulees 
directement en fonction du dispositif personnel de sScuritS. 

Les requStes de haut niveau contiennent des informations qui sont liSes spScifiquement 
au processus qui sera exScutS par le logiciel filtre. Selon un exemple simple, une requete de 
haut niveau peut comprendre une commande SlSmentaire unique k transmettre au dispositif 

35 personnel de sScuritS, par exemple un APDU ("Application Protocol Data Unit"), dans le cas 
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d'une carte k microcircuit, attache k un code MAC d'authentification de message qui permettra 
au logiciei filtre F de verifier Porigine et I'integrite de cette requite avant d'envoyer la 
commande etementaire au dispositif personnel de sdcurite. Selon un exemple plus complexe, 
tel qu'une requgte de signature d'un document, la requite de haut niveau sera transform^ par 
5 le filtre F en une sequence de commandes elementaires envoyges au dispositif personnel de 
security et eventuellement k ('interface utilisateur. Ainsi, selon cette definition et du fait qu'elles 
contiennent des informations sp&rifiques devant Stre decodees par le filtre F independamment 
du dispositif personnel de security les requites de haut niveau sont dites etre independantes 
du dispositif personnel de securite. 
10 Le filtre F repond aux objectifs de securite recherches dans la mesure ou le logiciei de 

traduction qu'il comporte verifie I'identite de ('application emettant les requ&es de services 
(ou directement I'origine des requites) et est implante de manure k garantir I'integrite et la 
confidential ite des operations et donnees elementaires mises en oeuvre pour repondre aux 
requites de services. 

15 Un logiciei de traduction est un logiciei configure pour un type de carte k microcircuit 

et traduit une requite de haut niveau re$:ue d'un logiciei duplication en une commande 
elementaire ou une sequence de commandes elementaires executables par les cartes k 
micro-circuit et/ou une sequence d'echanges de donnees avec I'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees par les programmes 

20 applicatifs pour faire appe! aux services de securite necessaires pour identifier et authentifier la 
personne tealisant la transaction et garantir I'origine, I'integrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une application (se 
trouvant sur un serveur ou sur I'ordinateur personnel PC ou NQ peut etre caracterisee par un 
ou plusieurs des points suivants : 

25 - elle est independante des moyens de base (moyens cryptograph iques par exemple) 

mis en oeuvre pour satisfaire k sa demande et contient des informations speeifiques devant 
6tre traitees par le filtre F. Reciproquement, plusieurs applications peuvent utiliser le mgme 
fournisseur de services de securite, faisant alors appel k la meme interface logique F-API 
definissant ces requites. 

30 - le traitement de la requite permet de Her la transaction de manure certaine k 

I'utilisateur effectuant la transaction k I'aide d'au moins un parametre secret, fixe ou variable, 
stocke dans la carte k circuit integre de I'utilisateur. 

- elle comporte eventuellement une information ou des informations permettant au 
logiciei filtre F de verifier son origine et son integrity. L'authentification peut se faire k I'aide 
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d'un code de type " Message Authentication Code ou MAC " ou bien de type " signature 
electronique * associe k la requite. 

- dans le cas oti la transaction n'est pas saisie par I'utilisateur sur le module terminal 
lui-meme, la requete contient eventueilement 1'information necessaire pour permettre k 
5 I'utilisateur de verifier, s'il le souhaite et si le module terminal supporte cette option, les 
donnees essentielles de la transaction. 

interface logique F-API permettant I'echange des requetes de security de haut niveau 
entre les applications et le logiciel de traduction du filtre F peut etre standardise de mantere k 
etre commune k differents programmes applicatifs. Ainsi, la requite de type " Signature * peut 
10 fitre utilise par une messagerie electronique ou par un logiciel d'achat. II est ainsi possible de 
changer I'application tout en conservant le fournisseur de services de securite ou 
reciproquement de remplacer le fournisseur de services de security sans modifier ('application. 

Afin de garantir I'integrite de la chaine de confiance entre I'application et la carte, le 
logiciel filtre F de traduction identifie, voire authentifie I'origine et ['integrity des requites 
15 qu'il regoit. Differentes methodes peuvent etre envisagees pour identifier ('application 
emettant les requites : 

- un code d'identification peut etre integre dans la requete elle- meme puis v6rifie par le 
logiciel filtre k partir des informations qu'il contient ou qui peuvent etre stockees dans la 
carte k circuit integre ; 

20 - le meme but peut etre atteint en comparant le rSsultat d'une operation de hachage 
execute par le logiciel filtre sur le logiciel applicatif emettant la requete avec un resultat 
pr£alablement stocke dans la carte par exemple. Cette derniere solution est particulierement 
adaptee au cas ou ('application est implantee sur le PC de I'utilisateur ; 

- Kauthentification peut egalement etre realisee en associant k la requete un code de type 
25 "MAC calcuie k partir du contenu de la requete et d'une cie secrete partag£e entre 

I'application et le logiciel filtre. Un principe equivalent peut etre utilise avec une signature de la 
requete calcuiee avec les mfimes informations et une cle privee connue de I'application, la 
signature etant verifiee avec la cle publique correspondante connue du logiciel filtre. 

La figure 2A decrit une premiere forme de realisation pour laquelle le module terminal 

30 1 est un ordinateur personnel PC 102, la liaison avec la carte k circuit integre 31 s'effectuant 
au moyen d'un lecteur 6 connecte ou integre k I'ordinateur PC 102. L'ordinateur personnel 
102 comprend des interfaces d 'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d'interface avec I'utilisateur peuvent etre le 
clavier et I'ecran du PC lui-meme, ou bien un clavier et/ou un afficheur de type LCD par 

35 exemple implante sur le lecteur. Dans ce mode de realisation, le filtre F est implante et 
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execute sur I'ordinateur PC 102. Le filtre F, et done !e logiciel de traduction qu'il contient, 
peut alors etre stocke sur te disque dur HD 102b de I'ordinateur personnel 102. Pour etre 
execute par I'unite de calcul ou microprocesseur 102c du PC, le logiciel filtre est ensuite 
charge dans la memoire vive RAM 102d de I'ordinateur personnel 102. 
5 Le disque dur d'un ordinateur PC etant difficile k proteger, le logiciel filtre F, ou tout 

au moins la partie sensible de ce logiciel, peut etre chiffre. Pour cela il peut etre decompose 
en au moins 2 modules : un module de chargement/dechiffrement Fed et un deuxieme 
module correspondant au logiciel filtre lui-mgme chiffre, FchL Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, puis le lancement 

10 de son execution. En se referant k la Figure 2A, le module logiciel dechiffre et charge en 
RAM est nomme Fdec. 

L'utilisation d'un langage de programmation tel que Java, par des mecanismes de 
security intrins^ques au langage lui-meme, permet de renforcer la protection du logiciel 

Une autre methode de verification de I'integrite du logiciel filtre est de faire signer le 

1 5 deuxieme module par une autorite garante du contenu du logiciel filtre au moyen d'une cle priv^e 
conserve secrete par cette autorite Le premier module de chargement effectue alors, 
simultanement k I'operation de dechiffrement, une operation de hachage sur le deuxieme module et 
verifie la signature de ce module au moyen de la cle publique assocife k la cle privee de rautorite. 
L'ensemble des operations decrites dans les paragraphes precedents implique 

20 ^utilisation de des sur lesquelles reposent la securite de ('application. Ces cl£s peuvent etre 
caches dans le module de chargement, stockees dans le lecteur 6, ou bien stockees dans la 
carte k circuit integre 31 elle-meme. Un autre mode de realisation possible consiste k 
implanter le module de dechiffrement et de verification d'int£grite dans le lecteur 6. 

L'objet de ('invention est de s'assurer qu'un pirate ne puisse pas utiliser la carte k 

25 circuit integre d'un utilisateur k son insu, par exemple en modifiant le logiciel filtre pilotant 
la carte ou le logiciel application, ou bien en implantant un logiciel virus qui court- 
circuiterait ('application ou le logiciel filtre mis en place. Le mode de realisation decrit 
pr6a§demment et ses variantes repondent £ ces risques, en permettant la verification: 
- de I'integrite du logiciel filtre et 

30 - de I'origine et de I'integrite des commandes envoy£es k la carte k travers le lecteur 6, en 

les authentifiant k I'aide d'un code de type MAC par exemple. La verification du MAC peut etre 
effectuee par le lecteur 6 ou la carte 31. Une protection equivalente pourrait etre obtenue en 
chiffrant le dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant k court- 
circuiter le logiciel filtre enverrait done des commandes non authentifiees ou incorrectement 

35 chiffrees au lecteur 6 ou k la carte 31 ; en consequence ces commandes seraient rejetees par le 
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lecteur ou la carte, empgchant le virus d'arriver k ses fins. Afin qu'un fraudeur ne puisse 
determiner les cl6s utilises sur un terminal en analysant le fonctionnement d'un autre terminal, 
les cl6s utilisees par divers terminaux devront etre diversifiees. 

Les mecanismes de chiffrement et de signature qui peuvent Stre envisages pour repondre 
5 au besoin de protection du logiciel fiitre sont bien connus des hommes de I'art et reposent sur 
les techniques cryptograph iques existantes exposes, par exemple, dans Touvrage de Bruce 
Schneier intitule "Applied Cryptography, Protocols, Algorithms, and Source Code in C" public 
chez John Wiley and Sons, Inc., 1994, etqui ne seront done pas decrits en detail ici. 

L'implantation du logiciel fiitre dans un ordinateur personnel PC ne permet pas de 

10 garantir le mgme degre de s6curite qu'une implantation dans un terminal dedie pouvant 
offrir des mecanismes de securite materiels supplementaires comme decrit dans les autres 
formes de realisation presentees ulterieurement, ces mecanismes procurant une protection 
physique au logiciel fiitre et aux secrets qu'il contient. 

Une variante d'exdeution du mode de realisation de la figure 2A est pr^sente a la 

1 5 figure 2B. Cette variante met k profit la souplesse et la facilite de connexion d'un ordinateur 
personnel a un reseau. Cette connexion permet en effet le deport d'une partie du logiciel 
fiitre, et en particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel fiitre est decompose en deux modules logiciels, 
un module F-PC implarlte sur I'ordinateur personnel PC 102 et un module F-SE implants sur 

20 un serveur de securite Ssec. La memoire programmable h laquelle il est reference 
precedemment et stockant le logiciel fiitre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, e'est-i-dire hors d'atteinte d'utilisateurs non 
autorises. De mgme, le logiciel fiitre, ou tout au moins la partie sensible du logiciel fiitre F-SE 
requerant une protection, est execute sur le serveur securise Ssec. 

25 Le module logiciel F-PC implante sur I'ordinateur personnel PC 102 est relie par un 

canal securise CS au serveur de securite Ssec. Ce canal securise est en fait un canal de 
communication chiffre permettant un echange de donnees protege entre les deux modules 
logiciels fiitre F-PC et F-SE et eventuellement une authentification reciproque des deux 
modules F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des protocoles de 

30 communication bien connus tels que SSL. 

L'etablissement de ce canal securise CS permet done au premier module logiciel fiitre F-PC 
de transmettre au deuxieme module logiciel fiitre F-SE, les requStes ref ues de I'application FAp k 
travers I'interface logique F-API, ainsi que les informations liees £ I 'identification de I'application 
emettant ces requ&es. Ce deuxieme module logiciel F-SE va ensuite, apr^s avoir verifi6 les 

35 informations relatives k I'application et, en fonction de I'application et eventuellement des 
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droits de I'utilisateur, traduire ces requites en une suite de commandes destinees a la carte k puce 
3 1 et au pilotage des ^changes de donnees avec I'utilisateur. Ces commandes ctees par le module 
F-SE sont ensuite envoyees au premier module F-PC qui les aiguille vers ('element conceme : le 
PC lui mgme pour ce qui conceme les commandes de pilotage des echanges avec I'utilisateur ou 
5 bien la carte k circuit integre. Pour que les commandes de pilotage des ^changes avec I'utilisateur 
puissent etre executees sur le PC, le PC devra comporter un module logiciel I, dit interpteteur. Ce 
logiciel interpreter permet I'affichage de messages sur i'ecran 4 et la saisie d'information par 
I'utilisateur sur le clavier 5. Ce module logiciel interpteteur sera plus pr^cisement decrit en regard 
des figures 4B et4C 

10 Ce second mode d'execution est base sur les mecanismes decrits k propos du premier 

mode d'execution de la figure 2A en ce qui conceme I 'identification de ('application 
(hachage ou signature par exemple) et la protection des commandes envoyees k la carte 
(ajout d'un code de type authentication de message MAC, par exemple). II offre par contre 
un degre de security sup<§rieur dans la mesure ou le module logiciel filtre F-SE assurant la 

15 traduction des requites de haut niveau revues de I'application Fap est execute dans un 
environnement securise. Dans le contexte de I'invention, le serveur Ssec est dit securise s'il 
n'est pas accessible physiquement ainsi que logiquement, c'est dire k travers une connexion 
teseau, k des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapts a des applications mises en 

20 oeuvre dans un environnement femrte ou privatif contrdie par une autorite centrale, car elle 
n^cessite un serveur protege dont ('administration doit gtne centralisee. Ce second mode 
d'execution offre de plus la possibility de definir une politique d'acc£s centralisee aux services 
cryptographiques offerts par la carte k circuit integre. Cette politique d'acc£s peut etre basee sur 
les applications requ£rant les services de la carte et sur les utilisateurs eux mgmes. Elle permet, par 

25 exemple, dans la cas d'une entreprise ayant distribue k ses employes ou k ses clients des cartes k 
circuit integre leur permettant de signer des couniers electroniques ainsi que des transactions 
bancaires, de s'assurer que seuls les utilisateurs autorises pourrant signer : ce mecanisme peut etre 
mis en oeuvre grace au canal securise CS. A chaque requite de signature emise par une des 
applications consideree comme valide par I'entreprise (la messagerie electronique et le logiciel de 

30 transactions bancaires), le module logiciel F-SE effeduera une demande d'authentification de 
I'utilisateur. Cette demande peut, par exemple, Stre effectuee en envoyant un nombre aleatoire, 
challenge ou defi via le canal securise CS k la carte 31. Apres saisie par I'utilisateur de son code 
confidentiel, la carte k circuit integre calculera un mot de passe dynamique en chiffrant le defi k 
I'aide d'une de secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal CS au 

35 module logiciel F-SE. Le module logiciel F-SE, connaissant I'utilisateur et done la ele secrete 
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contenue dans sa carte, comparera le mot de passe re?u au mot de passe attendu. Ce mecanisme 
connu sous le nom d'authentification en mode challenge - reponse peimet au module logiciel F- 
SE de valider I'identite de I'utilisateur. Ceci permet done k I'entreprise ayant remis les cartes a 
circuit integre aux utilisateurs de s'assurer que seuls les utiiisateurs encore autorises peuvent par 
5 exemple signer des transactions bancaires. 

Le serveur Ssec, grace aux moyens s6curis& et centralises qu'il repr&ente, permet non 
seulement une implantation s6curis£e du logiciel filtre F-SE mais aussi la possibility de mettre en 
place une politique centralist de contrdle de I'utilisation des services de security offerts par la 
carte k circuit int£gne. Le serveur Ssec permet la mise en place d'une politique centralisee du fait 

10 qu'un m£me serveur peut etre en liaison avec une plurality des modules logiciels F-PC implantes 
sur les ordinateurs personnels d'une plurality d ! utilisateurs. Le serveur Ssec permet ainsi la 
definition et le contrdle centralists des conditions d'utilisation des services de security offerts par 
les cartes remises aux differents utilisateurs, en fonction du profil de ('application requerant les 
services et des droits desdits utilisateurs. La mise en place de cette politique centralisee implique 

1 5 done de stacker dans le serveur les informations necessaires, c'est4<lire les droits des utilisateurs 
d'utiliser tel service de securite en liaison avec telle application. 

Ce second mode d'execution de la figure 2B, bien adapts aux environnements prives, 
est par centre difficilement applicable k des applications ouvertes pour lesquelles la mise en 
place d'un serveur central securise Ssec n'est pas envisageable. 

20 La Figure 3 illustre un module terminal reprenant des principes d'architecture 

fonctionnelle similaires k ceux de la Figure 2B dans une forme de realisation differente, ne 
n£cessitant pas de serveur centralist. Le module terminal selon la deuxitme forme de 
realisation de la Figure 3 presente un tr£s haut degre de securite, lui permettant ainsi 
d'assurerdirectement la protection locale du logiciel filtre F. 

25 Dans le cas de la figure 3, le module terminal 1 se presente sous la forme d'un boitier, 

portable ou non, dont une face porte I'tcran d'affichage 4 et le clavier 5 et dans lequel sont 
implantts des circuits electron iques, de preference de manitre telle que ceux-ci soient 
inaccessibles depuis I'exterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture 
de reception de la carte k micro-circuit 31 dans le lecteur 6. Le mode d'execution decrit en 

30 reference aux Figures 3, 4A, 4B et 4C ne doit pas etre consider comme se limitant k un 
terminal dedie. La description qui suit peut tout k fait etre appliquee k un terminal construit 
autour d'un ordinateur personnel de type PC ou NC. 

Selon un premier mode d'execution, illustre k la figure 4A, de cette deuxitme forme 
de realisation du module terminal de la figure 3, les circuits electroniques du module 

35 terminal 1 sont organises autour d'un microcontrflleur standard 2 et d'un microprocesseur 3 
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securisS, qui sont connects entre eux par une liaison et implants de manure permanente 
dans le boitier du module 1 . En variante, le microprocesseur 3 peut Stre enfichable sur le 
module 1 au moyen d'un connecteur 41 represents en traits interrompus k la figure 4A. II est 
d&rrit ici un mode d'ex<§cution generique bast sur un microcontr&leur standard. Dans un 
5 mode d'execution particulier qui sera dScrit ulterieurement, le microcontrdleur 2 peut en fait 
6tre un PC 102 du type de celui pr£sente dans la Figure 2B. 

Le microcontrdleur standard 2 comprend une unite de traitement 2a, de la memoire 
temporaire (RAM) 2b, et de la memoire permanente (ROM) 2c. II s'agit de preference d'un 
microprocesseur "monochip" dont le programme est masquS dans la memoire permanente 2c 

10 et qui integre dans un mgme circuit integr6 des moyens de gestion ou pilotage d'interfaces 
standards, I'unite de traitement 2a et les memoires temporaire 2b et permanente 2c. 

Les interfaces ou p6riph<§riques ggrees par le microcontrdleur 2 comprennent notamment 
Pi§cran 4 d'affichage de donnees, par exemple k cristaux liquides, le clavier 5 pour ^introduction 
de donnees par un utilisateur, le lecteur 6 de carte k micro-circuit, une interface 7 de liaison 

1 5 exteme, par exemple du type RS 232 ou PCM-CIA, une interface 8 de liaison par infrarouge, et un 
dispositif DTMF 9 pour la transmission de donnees sur une ligne tel£phonique. 

Les composants du module 1 comprennent ggalement une horloge 10 et une source 
1 1 d'alimentation Electrique des differents circuits et composants du module 1. La source 1 1 
d'alimentation electrique peut Stre constitute par des piles ou une batterie si le module 1 est 

20 portable et autonome. 

La tSche du microcontrdleur standard 2 est de gerer Penvironnement, c'est-^-dire de piloter 
les interfaces 4-9 et Phorloge 10, ainsi que la source d'alimentation 1 1 pour alimenter s<§lectivement 
le microprocesseur s6curis£ 3 en 6nergie Electrique dans le cas d'un module 1 autonome. 

Le microcontrdleur standard 2 ntcessite ainsi peu de puissance de calcul, peu de 

25 memoire temporaire (RAM) et pas de nrtemoire semi-permanente (EPROM ou EEPROM). Le 
microcontrdleur 2 est protege en <§criture du fait que ses programmes (pilotage d'interfaces 
et, comme d£crit dans la suite, interprEteur, gestion des horloges et de Palimentation 
electrique, etc..) sont masques en rrtemoire permanente 2c. Comme cela apparaitra dans la 
suite, le microcontrdleur standard 2 peut Egalement contenir un ou plusieurs paramEtres 

30 secrets, sur la base desquels il peut 6tre authentifte par le microprocesseur sEcurisE du 
module terminal et/ou d'une carte k circuit integre. Ces secrets doivent done Stre proteges en 
lecture et en Ecriture. lis seront de preference stocks dans la rrtemoire temporaire (RAM) 
d'un microprocesseur "mono chip", qui n'est accessible ni en Venture, ni en tcriture depuis 
I'exterieur. Le microcontrdleur standard 2 peut Egalement etre pourvu de fonctions de 
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securite complSmentaires, par exemple pour interdire des fraudes telies que I'affichage de 
donnees differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontrdleur d'un faible cout et ayant une faible 
consommation electrique, qui est particulterement adapts k un produit portable. Ce 
5 microcontrdleur peut Stre par exemple du type MSM 63 1 80 de la Society OKI. 

De preference, deux horloges sont prevues en 10 : une horloge h frequence basse 10a, 
par exemple de frequence 32,368 KHz et une horloge h frequence 6levee 10b, pouvant aller 
de 1 MHz k 12 MHz par exemple Le microcontrdleur 2 commande la connexion de son 
horloge systeme sur I'une ou I'autre de ces deux horloges. 

10 L'horloge lente 10a cadence un dispositif de temporisation 2d du microcontrdleur 2 

avec une periode de 0,5 s pour realiser une horloge temps reel dans le module 1. L'unite de 
traitement 2a peut 6galement fonctionner k I'aide de I'horloge lente 10a pour ies fonctions 
ne n<§cessitant pas de vitesse de calcul : dans ce cas Phorloge systeme du microcontrSleur 2 
est connects sur I'horloge lente 10a et I'horloge rapide 10b est arrStee. Ce mode de 

15 fonctionnement permet de limiter la consommation electrique du module 1, ce qui est 
avantageux si celui-ci est portable et aliments par une pile electrique. 

Le microprocesseur 3 s6curis£ en lecture et en Venture comprend une unite centrale 
3a et des memoires temporaire (RAM) 3b et permanente (ROM) 3c, ainsi qu'une memoire 
semi-permanente reprogrammable efectriquement (EEPROM ou Flash RAM par exemple) 3d 

20 pour le stockage, entre autres, des programmes duplication du module 1 . 

Ce microprocesseur securise 3 est du type de ceux utilises dans Ies cartes a micro- 
circuit et il presente un nombre limits d'entr^es et de sortie, ses bus internes etant 
inaccessibles depuis I'exterieur. De par sa fabrication, il integre d'autres mecahismes de 
securite propres k ce type de microprocesseur et bien connus des specialistes de la 

25 technique, tels que matrice de securite, brouillage de memoire, contrdle de la frequence 
d' horloge, contrdle de la remise k zero (RESET), etc... 

Grace au fait que le microprocesseur 3 poss£de une memoire semi-permanente 3d, il 
est possible d'y charger depuis l'ext£rieur, par exemple k partir d'un serveur ou d'une carte & 
micro-circuit, un ou des programmes duplication. II est ainsi possible, en fonction des 

30 besoins, de faire £voluer la ou Ies applications (contrdle d'acc£s, transaction financiers et/ou 
commerciales, porte-monnaie 6lectronique, etc..) auxquelles est destine le module 1. II est 
egalement possible, si la taille de la memoire semi-permanente 3d le permet, d'y implanter 
de nouvelles applications au cours de son utilisation. 

Selon la version choisie, le microprocesseur securis6 3 peut assurer le calcul de 

35 fonctions cryptographiques requ£rant des calculs importants mis en oeuvre dans Ies 
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algorithmes asymetriques de type RSA ou DSA, ou bien mettre en oeuvre des algorithmes 
plus simples, par exemple du type DES. 

Le microprocesseur securise 3 peut etre, par exemple : 

- un microprocesseur SIEMENS SLE44C160S, non cryptographique, dote de 14 Ko de 
5 memoire ROM et de 1 6 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST1 6CF54A cryptographique dote de 1 6 Ko de 
memoire ROM, de 4Ko de memoire EEPROM et de 480 octets de memoire RAM ; 

- un microprocesseur PHILIPPS P83C858 cryptographique dote de 20 Ko de memoire 
ROM et de 8 Ko de memoire EEPROM. 

10 Le microprocesseur securise 3 est connecte, d'une part par la liaison 12 au 

microcontrfileur standard 2, d'autre part par des liaisons 13 et 14 4 I' interface externe 7 et au 
. lecteur 6 de carte d micro-circuit par I'intermediaire de commutateurs-adaptateurs d'interface 
15 et 16 respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes par le 
microcontr&leur standard 2 via des liaisons 17 et 18 respectivement. 

15 Le microcontrdleur standard 2 comprend un programme d' interpretation ou 

interpreter 20 (Fig. 4B et 4C) stocke dans la memoire ROM 2c et permettant k celui-ci 
d'executer des commandes g£n£rees par le logiciel de traduction des requetes de haut 
niveau faisant partie du ou des programmes duplication, comme cela sera decrit dans la 
suite. Cet interpreter 20 permet ainsi au(x) programme(s) d'application stocke(s) dans le 

20 microprocesseur securise 3 de piloter les interfaces 4-9 via la liaison 1 2. Cependant, le ou les 
programmes d'application peuvent fitre localises et executes ailleurs que dans le 
microprocesseur 3 securise en lecture et en Venture, par exemple dans une carte a micro- 
circuit 31 ins6r£e dans I'interface 6, telle qu'une carte adaptee pour supporter des 
m^canismes de telechargement et d'ex&rution des applications comme decrit dans la norme 

25 NF EN 726-3 intitule "Cartes k circuit int6gr6 et terminaux pour les telecommunications. 
Partie 3 : Specifications de la carte independantes des applications". 

Les programmes d'application peuvent en outre, en fonction des regies de security 
auxquelles ils sont soumis, etre distribues entre ces differentes localisations. 

Le schema fonctionnel de la figure 48 illustre une premiere configuration 

30 d' architecture logicielle du module 1 de la figure 4A dans laquelle I'ensemble des 

programmes d'application A1, A2, An et des fonctions de securite (calcul de condense, 

algorithmes cryptograph iques symetriques teis que DES, triple DES, pu asymetriques tels que 
proposes par RSA) est mis en oeuvre dans le microprocesseur securise 3. 

Les applications nominees ci-dessus et dans la suite de la description A1, A2, An 

35 comprennent au minimum les filtres F1, F2, Fn, et done en particulier les logiciels de 
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traduction des requites 6mises par le ou les fournisseurs de services applicatifs FAp faisant 
partie de I'application principale 54 (Figure 8A). 

Le microcontrOleur standard 2 g£re I'environnement au moyen de differents 
programmes de gestion ou gestionnaires d'interface k savoir : 
5 - un gestionnaire 21 du lecteur ou interface 6 de carte k micro-circuit; 

- un gestionnaire 22 de ('interface 7 de liaison s6rie ; 

- un gestionnaire 23 du clavier 5 ; 

- un gestionnaire 24 de ('interface 8 de liaison par infrarouge ; 

- un gestionnaire 25 de Pafficheur 4 ; 

10 - un gestionnaire 26 de Phorloge 10 et de la source d'alimentation 11; 

- un gestionnaire 27 de ('interface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans I'hypothSse ou le module 1 comporte une 
ou des interfaces autres que celles representees k la figure 2. 

Ainsi, le microprocesseur securis6 3 peut piloter les interfaces au moyen de 

15 commandes qui sont interpretees par I'interpreteur 20 et ex^cutees par le microcontrdleur 
standard 2 grace aux gestionnaires 21-28. 

La figure 4C illustre une seconde configuration logicielle du module 1 de la figure 4A 
dans laquelle une ou plusieurs applications Ax et une ou piusieurs fonctions 
cryptograph iques Sx sont stockees dans une memoire reprogrammable 30a d'un 

20 microprocesseur securise 30 d'une carte a micro-circuit 31 . Lorsque la carte 31 est introduite 
dans le lecteur 6, le microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autres applications et fonctions de security peuvent etre 
residentes dans et mises en ceuvre par le microprocesseur securise 3 du module 1. Cest 
ainsi, par exemple, que le microprocesseur 30 de la carte 31 peut assurer une fonction de 

25 signature £lectronique dans l'hypoth£se ou le microprocesseur securis6 3 n'integre pas un 
processeur de calcul dedte (cryptoprocesseur). Reciproquement, : si le microprocesseur 
securise 3 integre un cryptoprocesseur, il est 6galement possible qu'une application presente 
dans la carte k micro-circuit 31 fasse appel k des commandes cryptographiques du module 
1, commandes qui seront executes par le microprocesseur securis6 3. 

30 Dans cette seconde configuration, qui pour le reste est identique k celle de la figure 4B, 

I'interpreteur 20 joue vis-a-vis du microprocesseur 30 le meme rfile que celui qu'il remplit vis- 
a-vis du microprocesseur securise 3. Le module 1 peut ainsi executer des applications 
differentes selon le type de carte 31 k micro-circuit introduit dans le lecteur 6, par exemple : 
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- une authentication de Putilisateur dans le cadre d'une transaction bancaire 
(consultation de compte, virement de fonds, etc..) effectuee via une ligne telephonique au 
moyen de ('interface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie £lectronique, ou le rechargement de 
5 ce porte-monnaie, k partir du module 1, lorsqu'une carte k micro-circuit 31 remplissant la 

fonction de porte-monnaie est introduite dans le lecteur 6. En outre, le module 1 permet de 
gerer plusieurs cartes porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
sp^cifique k une collectivity par exemple ; 

- lecture d'un dossier medicalsur une carte medicate ; 

10 - lecture de points de fideiite sur une carte dans laquelle des points de fideiite sont 

attribues k un consommateur en fonction d'achats effectues, de sa participation k des 
operations de fid£lisation de clientele, etc... 

Le mode d'execution decrit ci-dessus k la Figure 4A ainsi que les configurations 
logicielles presentees dans les Figures 4B et 4C s'appliquent, de maniere analogue, a un 

15 terminal construit autour d'un PC conventionnel equipe en outre du microprocesseur 
securise 3. Dans ce mode d'execution, le microcontr6leur 2 correspond au PC 102 tel qu'il 
est pr£sente k la Figure 2A, I'unite de traitement 2a correspond au microprocesseur 102c du 
PC, et les mSmoires RAM 2b et permanentes 2c correspondent respectivement k la memoire 
RAM 102d et au disque dur 102b. De m£me les entrees / sorties 102a du PC correspondent 

20 aux modules d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le microprocesseur 
s£curise 3 et le PC 102 peut 6tre une liaison serie ou paraliele, ou bien encore une 
connexion au bus interne du PC, du type PCMCIA, ou une connexion directe sur la carte 
m£re du PC. En variante, le microprocesseur securise 3 peut §tre integre de manure fixe, ou 
amovible via le connecteur 41 , au clavier du PC. 

25 Dans ce cas, le module logiciel interpreter 20 ainsi que les modules logiciels de 

gestion des periph6riques 21 Si 28 sont implantes et executes sur le PC. L'architecture 
fonctionnelle de ce mode d'execution est equivalente k celle presentee k la Figure 2B, le 
module interpr&eur 20 ainsi implants sur le PC assurant le m£me rdle que le module 
interpr&eur I de la Figure 2B : il execute les commandes de pilotage des ^changes avec 

30 I'utilisateur revues du logiciel filtre F lui-m&me implant^ de manure securise dans le 
microprocesseur 3 (Figure 48) ou la carte k circuit integr£ 30 (Figure 4Q. 

Le schema de la figure 5 illustre un deuxi£me mode d'execution de la deuxieme forme 
de realisation de Tinvention, dans lequel les circuits electroniques du module terminal 1 sont 
organises autour d'un seul microcontrdleur 29 rempla^ant le microcontroleur 2 et le 

35 microprocesseur 3 et pouvant offrir le meme type de protection physique et logique que les 
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microprocesseurs corpus pour les cartes k circuit integre. Ce microcontr6leur g£re I'ensemble 
des moyens d'interfaces 4-9 du module terminal. II comporte une unite de traitement 29a, une 
memoire temporaire (RAM) 29b, une memoire permanente (ROM) 29c et une memoire semi- 
permanente (EEPROM) 29d permettant le stockage du logiciel de traduction. L'unite de 
5 traitement 29a correspond k la fois k l'unite 2a de traitement de donnges permettant le pilotage 
des interfaces et k I'unitG 3a de traitement permettant ('execution du logiciel de traduction. De 
m&me que pr6c6demment, le module terminal 1 peut Stre construit autour d'un ordinateur 
personnel PC 102 auquel serait connecte au bus interne un microcontr6leur securise 29 
pilotant ainsi directement l'6cran d'affichage 4 et le clavier 5 du PC. 

10 Dans une variante de realisation, la memoire dans laquelle est stockee le logiciel de 

traduction des requfites de haut niveau, memoire volatile de type RAM avec une alimentation de 
sauvegarde ou semi-permanente (EEPROM ou Flash RAM), peut fitre exteme au microcontrOleur 
29. Dans ce cas, le logiciel de traduction peut gtre chiffre et signe, ou proteg(§ par un code de type 
MAC ("Message Authentication Code") de manfere k assurer k la fois son integrite et sa 

1 5 confidentiality. Le logiciel est lu par le microcontrdleur 29, dechiffre puis execute. 

Selon un troisteme mode d'ex<§cution, represent^ k la figure 6, de la deuxi£me forme 
de realisation de ('invention, le module terminal 101 est d£pourvu de microprocesseur 
s£curis£ 3. Sur cette figure 6, les memes num£ros de reference qu'£ la figure 4A ont 6te 
conserves pour designer les mgmes Elements. Le microcontrSleur 2 pilote ('interface 6 et le 

20 commutateur-adaptateur 15 pour permettre la connexion du microprocesseur securise 130 
d'une carte k micro-circuit programmable 131 pr&ente dans I'interface 6 avec I'interface de 
liaison externe 7. Dans ce cas, I'ensemble des applications A et des fonctions 
cryptographiques C sont m6moris£es dans une memoire semi-permanente 130a (EEPROM 
ou Flash RAM) du microprocesseur s6curis£ 130 de la carte k micro-circuit programmable 

25 131, et mises en ceuvre par ce dernier comme decrit k la figure 4C k propos des applications 
Ax et des fonctions cryptographiques Cx. 

Dans les exemples droits pr6c§demment, dans un but de simplification, le 
microprocesseur 30, 130 de la carte k circuit integrg ainsi que le microprocesseur securise 3 
£ventuellement implants dans le module terminal comporte un seul port de communication. 

30 Ceci implique que dans ces exemples, les ^changes entre les differentes entites, k savoir l'unite 
6lectronique 154 (figure 8) contenant ('application principale, le microprocesseur securise 3 et 
le microprocesseur 30, 130 de la carte circuit integr6 se font k travers le microcontrdleur 2 ou 
29 du module terminal. Ces descriptions ne doivent pas Stre considerees comme limitatives : 
d'autres mises en oeuvre peuvent 6tre envisages dans le cadre de la presente invention. En 

35 effet, les microprocesseurs s£curis6s de carte k circuit integre actuellement disponibles, 
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utilisables pour la carte elle mfime (microprocesseur 30, 130) ou dans le module terminal 
(microprocesseur 3), peuvent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement envisageables avec ce 
type de microprocesseur. Dans le cas de la figure 4C, par exemple, un des ports de la carte k 
5 circuit integr£ 31 peut etre dedie au pilotage de ('interface utilisateur et done relie au 
microcontrfileur 2, I'autre port Stant relie k I'unite 6lectronique comportant ('application 
principale moyennant une adaptation d'interface appropriee. 

Suivant une caracteristique importante de I'invention, un logiciel filtre est implante 
dans la memoire reprogrammable EEPROM assoctee au microprocesseur s£curise 3 ou 29 
10 du module terminal 1 et/ou au microprocesseur securise 30, 130 de la carte 31, 131. Ce 
logiciel filtre traduit de mantere connue les requites de haut niveau en provenance du 
serveur Sap ou de I'ordinateur personnel PC en sequences de commandes elementaires 
executables par ces microprocesseurs (commandes qui sont notamment definies par la partie 
4 de la norme ISO 7816-4). En outre, suivant ('invention, ce logiciel filtre traduit ces requetes 
15 de haut niveau en sequences d'&rhanges de donn£es entre le module terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que Pafficheur 4 et le clavier 5. 

Cette solution offre I'avantage de r£duire considerablement le debit de donnees 
6chang6 entre le module terminal 1, 101 et le serveur Sap ou le PC, mais requiert une 
implantation s£curis6e du logiciel de traduction pour empScher que les instructions 
20 envoyees k la carte k micro-circuit soient modifies. 

Ce logiciel filtre fait partie integrante de la partie du logiciel d'application implantee 
dans le module terminal 1 et/ou la carte 31, 131 et il est done tei£chargeable. 

La figure 7 illustre ('architecture logicielle conventionnelle d'une carte k micro-circuit 
("smart card"). 

25 Les differentes couches de logiciels sont representees par un bloc 43 qui comprend 

une couche logicielle 44 "protocole de communication" permettant de recevoir des 
commandes. Ces commandes sont d£cod£es par une couche logicielle 45 "Interpretation 
commandes APDU" (APDU : "Application Protocol Data Unit" dont le role est d'orienter les 
commandes vers des modules de traitement qui peuvent §tre : 

30 - un logiciel 46 de services de gestion de fichiers securises ; 

- un logiciel 47 de services cryptograph iques ; 

- un ou d'autres logiciels d'application 48 

Les modules de traitement 46, 47, 48 s'appuient sur des sen/ices de base offerts par le 
systeme d'exploitation 49 de la carte k micro-circuit. 
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La figure 8A illustre I 'architecture logicielle d'un systeme de mise en oeuvre de 
transactions securistes faisant appel k des modules terminaux 1 dotes d'un microprocesseur 
s£curis£ 3, conform£ment au mode d'execution de I'invention de la figure 4A. 

Le bloc 51 dtsigne les logiciels executes par le microprocesseur securis£ 3 du module 
5 terminal 1, le bloc 52 les logiciels executes par le microcontrdleur 2 ou PC 102 du module 
terminal 1, le bloc 53 les logiciels executes par le microprocesseur 30 d'une carte k micro- 
circuit 31, et le bloc 54 le logiciel principal duplication, ou Fournisseur de services 
applicatifs, implante dans le setveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-^-dire que le microprocesseur 
1 0 securise 3 a une architecture semblable k celle d'une carte k circuit integre. Le bloc 51 comprend: 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 reprtsentant la partie du logiciel duplication implantee dans le module 
terminal 1, cette partie du logiciel duplication etant essentiellement constitute du logiciel 

15 filtre precite. Differents modules logiciels de ce type correspondant k difterentes applications 
peuvent cohabiter dans le microprocesseur securist 3. 

- optionnellement, un logiciel 63 permettant d'assurer I'authentification du 
microcontrfileur standard 2 par le microprocesseur s£curis£ 3 et I'authentification du 
microprocesseur s6curis6 3 du module terminal 1 par le microprocesseur 30 de la carte 31, 

20 - un logiciel 64 de gestion de fichier s£curis6, 

- un logiciel 65 de services cryptograph iques. 

Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

- un interpteteur de commandes 71 correspondant au logiciel 20 des figures 4B et 4C ; 
25 - un logiciel d'authentification 72 permettant, en liaison avec le logiciel 63, I'authentification 

du microcontr6leur standard 2 par le microprocesseur securise 3 du module terminal 1 ; 
• des logiciels 73 de gestion des ressources internes du microcontroleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec Tutilisateur (gestionnaires 23 et 25 de 
I'ecran 4 et du clavier 5) ; 

30 - des logiciels 75 de pilotage des interfaces de communication 7, 8 et 9 (gestionnaires 22, 
24, 27) ; 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans I'exemple decrit 
par la figure 8A, de logiciel d'application ou filtre. II comprend : 

- un logiciel 80 de protocole de communication, 

35 - un logiciel 81 d' interpretation de commandes APDU, 
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- un logiciel 82 de services de gestion de fichier securise (contr6le du PIN par exemple), 

- un logiciel 83 de services cryptograph iques (calculs cryptographiques symetriques k c\€s 
secretes ou asymetriques, k cl£s publiques et cl£s privies, etc..) permettant, entre autres, 
d'assurer, en liaison avec le logiciel 63, Pauthentification du microprocesseur s6curis<§ 3 du 

5 module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme d'exploitation 84 du microprocesseur 30 de la carte 31 . 

Le protocole de communication 60, 70, 80 permet de gener les ^changes de donnees entre: 

- le microprocesseur 30 de la carte 31 et le microcontrfileur standard 2 ou PC 102 du 
module terminal 1 ; 

10 - le microprocesseur s6curis6 3 et le microcontrOleur 2 du module terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le microprocesseur 30 de la carte 31 . 

La figure 8B est une vue similaire k la figure 8A illustrant Parchitecture logicielle du 
systeme dans le cas ou le module terminal 101 ne comporte pas le microprocesseur securise 
3, conform£ment au troisteme mode d'execution du deuxifrne mode de realisation de 

1 5 Pinvention de la figure 6. 

Sur la figure 8B, le bloc 152 d<§signe les logiciels executes par le microcontr6leur 2 du 
module terminal 101, le bloc 153 les logiciels executes par le microprocesseur 130 d'une 
carte k micro-circuit programmable 131, et le bloc 154 le logiciel principal duplication 
implants dans le serveur Sap ou un ordinateur personnel PC. 

20 Le bloc 152 comprend les memes logiciels 70, 71 et 73 k 75 que. le bloc 52 de la 

figure 8A, et un bloc 76 qui est un logiciel d'authentification du microcontr6leur standard 2 
du module terminal 101 vis-^-vis du microprocesseur 130 de la carte 131 . 

Le bloc 153 relatif au microprocesseur 130 de la carte 131 comprend les logiciels 62 
et 80 k 84 des blocs 51 et 53 de la figure 8A, ainsi qu'un logiciel 77 permettant, en liaison 

25 avec le logiciel. 76, d'assurer Pauthentification du microcontrdleur standard 2 du module 
terminal 101 vis-^-vis du microprocesseur 1 30 de la carte 131. 

A la difference d'un systeme conventionnel, dans le systeme de transaction securisee 
selon Pinvention, le logiciel filtre 62 qui traduit les requites de haut niveau de Papplication 
en commandes elementaires executables par une carte k micro-circuit est implante dans 

30 Penvironnement utilisateur securise, c'est-A-dire soit dans le module terminal 1 (pour les 

applications A1, A2 An des modes d'ex£cution des figures 4A-4C et 5), soit dans une carte 

31, 131 k m£moire semi-permanente utilisable avec le module terminal 1, 101 (pour les 
applications Ax du mode de realisation de la figure 4C et pour tqutes les applications du 
mode de realisation de la figure 6). 
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Outre sa fonction de gestion d'une carte k micro-circuit, ce logiciel filtre 62 g£re les 
. interactions avec I'utilisateur, c'est-a-dire les sequences d'echange de donnees entre un 
utilisateur et le module terminal qui sont requises dans le cadre d'une application, ^changes 
qui ont lieu par I* intermediate des moyens d'interface, k savoir I'ecran 4 et le clavier 5. II est 
5 k noter que 1'invention n'est pas limine k I'utilisation d'un ecran et d'un clavier comme 
interfaces avec I'utilisateur et que tout autre type d'interface, par exemple vocale, pr<§sentant 
Pergonomie requise, pourrait convenir. 

Grace k Pimplantation s<§curisee du logiciel filtre 62 dans le microprocesseur securist* 
3 ou 29 du module terminal 1 ou le microprocesseur 30, 130 de la carte k micro-circuit 31, 
10 131, la securite des transactions est assume. En effet, les des et regies necessaires pour 
aca§der k des fichiers de la carte k micro-circuit 31, 131 sont contenues dans le logiciel de 
traduction 62 et sont done inaccessibles k des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci-apr£s en prenant 
I'exemple d'une application visant le commerce 6lectronique. L'application met en ceuvre 
1 5 les entites suivantes : 

• un acheteur 

• un commergant, 

• une banque. 

Le commerfant dispose d'un serveur de commerce 6lectronique Sap (serveur Web) 
20 accessible depuis le reseau Internet. Les acheteurs sont £quipes de: 

• un ordinateur PC permettant d'acc&ter au serveur Sap de commerce 
electronique, et grace auquel I 'acheteur peut consulter un catalogue de marchandises. 

• une carte k circuit integrS 31 d(§Iivr£e par la banque et dont le microprocesseur 
30 contient une cl<5 priv6e, mais ne dispose pas de capacity cryptograph iques permettant 

25 d'effectuer une signature, 

• un module terminal 1 selon le mode de realisation de la figure 4A, dote d'un 
microcontrdleur standard 2, d'un microprocesseur s&rurise 3 disposant de capacity 
cryptographiques permettant la signature d'un message, d'un clavier 5, d'un afficheur 4, d'une 
interface carte k circuit intggrg 6 et d'une interface s6rie 7 pour sa connexion k un ordinateur PC. 

30 Les principes de fonctionnement sont les suivants : la transaction est sign<§e par le 

module terminal 1 k I'aide d'une cl6 privee d&enue par la carte 31. Cette cl6 privee est 
protegee par un code porteur confidentiel (PIN) que I'acheteur doit saisir en milieu securise, 
done sur le terminal 1, et par une authentication prealable du terminal 1 par la carte 31 k 
I'aide d'une cle secrete Kauth. De plus la cl6 priv6e est transmise de mantere chiffrge (par une 
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cl6 Kchif) de mantere k 6tablir un canal de communication s&rurise entre le microprocesseur 
30 de la carte k circuit integree 31 et le microprocesseur securise 3 du terminal 1 . 

La figure 9 illustre les ^changes entre les differentes entity : 

a. I'acheteur constitue sa commande sur I'ordinateur PC, 
5 b. I'ordinateur PC 6labore la transaction k faire signer par I'acheteur (reference article, 

prix) etdemande la signature de cette transaction au module terminal 1, 

c le module terminal v^rifie I'origine de la demande de signature puis sollicite la 
saisie du code PIN par affichage d'un message "saisie PIN" sur son afficheur 4, 

d. I'acheteur saisit son code porteur (code PIN) sur le clavier 5 du module terminal 1, 
10 e. le PIN est envoye par le module terminal 1 & la carte 31 pour verification. Cette 

verification £tant positive, elle provoque la levge d'une de deux conditions d'acc^s k la 
lecture de la c\6 privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

g. I'acheteur donne son accord, par appui sur une touche "validation" du clavier 5 du 
15 module terminal 1, 

h. le module terminal 1 soumet une demande d'authentification externe k la carte 31. 
Cette authentification externe permet au microprocesseur securise 3 du module terminal 1 
de s'authentifier vis-^-vis du microprocesseur 30 de la carte 31 et de lever ainsi la deuxteme 
protection d'accfes k la cle privee. Cette authentification se fait en mode challenge/n§ponse 

20 sur la base d'un secret, Kauth, partagg par le module terminal 1 et la carte 31, 

i. le module terminal 1 envoie une demande de lecture de cl£ privee k la carte 31, 

j. toutes les conditions d'acces etant remplies, la carte 31 accepte la demande de 
lecture, et renvoie la cle privee, chiffr^e par une cl6 secrete, Kchif, partagee par la carte 31 et 
le module terminal 1, 

25 k. le module terminal 1 dechiffre la cle privee, signe la transaction au moyen de la cle 

privee, d&ruit la cl6 priv6e, se d^connecte de la carte 31 et envoie e la transaction signee k 

I'ordinateur PC qui la transmet au serveur S. 

Cet exemple peut Stre transpose aisement k une transaction electronique effectuee 

sans ordinateur PC, le module terminal 1 se connectant directement k un serveur Sap par 
30 une liaison modem (figure 3), I'acheteur entrant la commande (reference produit) sur le 

module terminal 1 . 

II est ci noter que I'authentification du microprocesseur securise 3 par la carte peut 
aussi 6tre effectu£ h travers la commande de lecture de cle privee en lui associant un code 
d'authentification MAC (Message Authentification Code) calcule au moyen d'une cle secrete. 
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Cet exempie montre que le logiciel filtre 62 permet de traduire une requete de haut 
niveau "demande de signature de transaction" en une multitude de requites dementaires 
adress^es aux differentes interfaces du module terminal 1, k savoir ('interface 6 avec la carte 
a circuit integre 31, interface afficheur 4, I'interface clavier 5, P interface de connexion k 
5 I'ordinateur PC ou au serveur Sap. 

Un tel logiciel filtre de traduction a un rfile d'ecran, de filtre entre le monde exterieur, 
c'est k dire les applications, et les pgripheriques qu ! il g£re. 

II ameliore la security offerte du fait que : 

1 . il impose un s£quencement aux ordres 6l6mentaires envoySs. Par exempie, dans le cas 
10 illustre ci-dessus, il impose que la transaction soit valid§e par I'utilisateur avant d'etre signee. 

2. il dispose seul des param6tres secrets permettant de gengrer et d'authentifier ces ordres 
£l6mentaires. Ainsi il dispose seul des cles d'authentification et de chiffrement permettant de 
lire et dechiffrer la cle priv6e. 

Lorsque le logiciel filtre est execute dans le microprocesseur s£curis§ 3 du module 
15 terminal 1, ces proprietes permettent d'imposer une politique d'acc^s k la carte 31, politique 
qui n'est pas toujours complement imposee par la carte elle-m6me, ou d'etendre les 
capacites d'une carte (capacity de signature d6legu6e au module terminal, utilisation dans un 
contexte non pr6vu lors de son d^ploiement initial). 

Les avantages offerts en terme de s6curit6 par ('execution du logiciel filtre dans le 
20 microprocesseur securisg du module terminal ou dans celui de la carte k circuit integr£ ne 
sont possibles que parce que le logiciel s'exScute dans un environnement s^curise 
permettant d'assurer que : 

• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait qu'ils sont 
memorises au sein du microprocesseur securis6 3, 29, 30 ou 1 30, 
25 • la confidential ite et I'integrite du logiciel filtre sont preserves, du fait que ce 

logiciel est m6moris£ dans la microprocesseur s^curise 3, 29, 30 ou 1 30. 

Dans le cas oCj le module terminal 1 est un produit d6die, disposant de ses propres 
interfaces, afficheur 4 et clavier 5, Pobjectif de securite est atteint grace au fait que le logiciel 
pilotant les ^changes de donnees avec I'utilisateur ne peut Stre modifte, dans la mesure ou il 
30 est stocks de mantere definitive dans la m6moire permanente 2c du microcontrdleur 2 ou de 
manure s£curis6e dans le microcontrdleur 29. L'utilisateur peut ainsi valider en toute 
confiance le contenu de sa transaction grace k I'afficheur 4 et au clavier 5, rendant optionnel 
la necessity de verifier I'identite de ^application ou I'origine et I'int6grit6 des requites. 

D'autres mgcanismes peuvent encore am^liorer le niveau de security de la chaine de 
35 confiance entre le microprocesseur securis6 de la carte k circuit int£gr£, I'eventue! 
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microprocesseur securise du module terminal, le microcontrfileur standard ou le PC du 
module terminal et I'utilisateur. Ces mecanismes sont les suivants : 

A) telechargement securise du logiciel filtre ; 

B) authentication du microcontrdleur standard par le microprocesseur securise ou, ce 
5 qui est equivalent rnais mieux adapte dans le cas d'un mode d'execution du terminal autour 

d'un PC, authentification du module logiciel interpreter I (20) par le logiciel filtre F (62), 
et/ou etablissement d'un canal de communication securisee entre ces deux microprocesseurs 
ou les logiciels I et F, 

C) protection d'un secret par le microcontrdleur standard , 

10 D) authentification mutuelle et etablissement d'un canal de communication securise 

entre le microprocesseur securise de la carte k circuit integre et le microprocesseur securise 
du module terminal, 

E) authentification du module terminal, et eventuellement du couple module terminal- 
carte, 

1 5 F) authentification de la carte k micro-circuit par le module terminal. 

A) T£!£chargement s£curise du logiciel filtre 

L'organigramme de la figure 10 illustre le processus de telechargement d'un 
programme d'application (logiciel filtre) dans le microprocesseur securise 3 ou 29 du 
module 1 ou le microprocesseur securise 30, 130, d'une carte 31, 131 presente dans le 

20 lecteur 6. Ce telechargement peut Gtre effectue k partir d'un serveur Sap via, par exemple, 
I'ordinateur personnel PC et ['interface 7 de liaison externe ou I'interface 8 de liaison 
infrarouge, ou directement au moyen d'une liaison teiephonique grace k I'interface 9 de 
liaison par DTMF. Le telechargement peut egalement St.re effectue dans le microprocesseur 
securise 3 ou 29 (si le module terminal en est equipe) k partir d'une carte k micro-circuit 

25 introduite dans le lecteur 6. 

A I'etape 32, la zone de la memoire 3d allouee au programme d'application a recevoir 
est vide et le microprocesseur 3 est en attente du chargement du programme d'application k 
la suite d'une requite de chargement. 

L'etape suivante 33 correspond k une procedure d'authentification par le 

30 microprocesseur 3 de I'entite appelee k telecharger le programme d'application (Emetteur). 
Cette procedure d'authentification peut faire appel, par exemple, k des mecanismes de 
chiffrement bien connus des special istes de la technique, par exemple des mecanismes 
symetriques k des secretes partagees ou des mecanismes asymetriques k cle privee et cie 
publique. 
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L'etape 34 est un test visant k determiner si la procedure d'authentification a reussi : 
dans ia negative, le message "acc£s refuse" est affiche sur I'tScran 4 (£tape 42) et le 
programme retourne k I'&ape 32; dans I'affirmative, le processus de chargement du 
programme duplication commence k l'etape 35. 
5 L'etape 36 correspond au stockage dans la m^moire EEPROM 3d des trames.de 

donn^es transmises par I'entite assurant le teiechargement. 

L'etape 37 est un test pour determiner si le teiechargement est acheve : dans la negative, 
le programme de teiechargement revient k l'etape 36 et le teiechargement se poursuit ; dans 
('affirmative, il est precede k l'etape 38 k une verification de I'integrite des donnees revues par 

10 le microprocesseur 3. A cet effet, un code d 'authentication de message (MAQ peut £tre 
associe au programme telecharg£ pour permettre de verifier non seulement son integrite, mais 
£galement son origine. Le MAC peut etre produit en utilisant un mecanisme de cryptographie 
symetrique (DES en mode cham^ CBC). La verification de I'origine et de I'integrite peut aussi 
etre realisee k I'aide d'un mecanisme de cryptographie asymetrique : un condense du logieiel 

15 telecharge est signe par I'emetteur k I'aide de sa cle privSe ; le microprocesseur securise 3 
verifie ensuite la signature ci I'aide de la cle publique de I'emetteur. 

II est k noter que dans ce dernier exemple, la cle publique par principe ne necessite 
pas de rester confidentielle. Cependant la s^curite apportee par le microprocesseur assure 
Tintegrite du logieiel, empgehant un fraudeur de modifier le logieiel pour supprimer la 

20 verification de signature ou simplement de substituer k la cle publique initialement prevue 
une cl£ publique pour laquelle il connaftrait la cle privee associee. 

Si d'apr£s le test 39, il s'avere que les donnees revues sont correctes, un drapeau 
indiquant que le programme duplication re?u est valide est elabore k l'etape 40. Dans le 
cas contraire, le programme de teiechargement revient k l'etape 32 de depart. 

25 Ce processus de chargement du logieiel d'application, done du logieiel filtre, dans la 

memoire reprogrammable securis6e (3d, 30a, 130a suivant le mode de realisation), 
comporte des mecanismes permettant de confirmer I'origine et I'integrite des donnees revues 
de I'emetteur du logieiel. Ceci permet d'interdire le teiechargement par un fraudeur d'un 
logieiel filtre qui serait susceptible de mettre en oeuvre des transactions dans le module 

30 terminal 1, 101 k I'insu de I'utilisateur. 

B) Authentification du module logieiel interpreter I, 20, 71 par le logieiel filtre F, 62 
OU; ce qui est equivalent dans le mode d'execution correspondant, authentification du 
microcontrdleur standard 2 par le microprocesseur securis6, et/ou etablissement d ! un 
canal de communication securise entre ces deux logiciels ou ces deux microprocesseurs. 
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Pour qu'un utilisateur puisse avoir une totale confiance dans le module terminal au 
moyen duquel il effectue des transactions, il est necessaire : 

- d'authentifier les donnees transmises du logiciel interpr&eur 20, 71 au 
microprocesseur securis6 3, 30 ou 130 executant le logiciel filtre ; 
5 - d'assurer que les donnees transmises par le logiciel filtre pour &tre affichees par 

I' intermediate du logiciel interpreter du module terminal 1, 101 possede par I'utilisateur ne 
peuvent I'&tre que par celui-ci. 

Lorsque les moyens de pilotage des ^changes de donnees avec I 'utilisateur, c'est k dire 
le logiciel interpreter 20, 71, sont implants de maniere fixe et non modifiable dans le 
10 module terminal 1, 101, comme par exemple dans la mSmoire ROM 2c du microcontrdleur 
standard 2, I'authentification du module logiciel est equivalente a I'authentification du 
microcontrdleur. 

De mfime, lorsque le logiciel filtre est implants de manure & ne pas pouvoir etre 
modifie par une personne non autoris£e, dans des moyens de traitement securis£s tels que le 
15 microprocesseur s6curis6 3, la carte k circuit integre ou bien le serveur securise Ssec, une 
authentification effectuee par ces moyens securises est equivalente £ une authentication . 
effectue par le logiciel filtre Iui-m6me. 

Dans la description qui suit, nous decrirons les mecanismes d'authentification des 
moyens logiciels de pilotage des interfaces ou logiciel interpreter 20, 71 par le logiciel filtre. 
20 Differentes solutions permettent de remplir ces conditions. 

Une premiere solution consiste k chiffrer toutes les donnees ^changees entre le le 
logiciel interpreter 20, 71 et le logiciel filtre. 

Une deuxidme solution consiste k faire proceder k I'authentification du logiciel 
interpreter 20,. 71 par le le logiciel filtre et/ou £ etablir un canal de communication securise 
25 entre ces deux logiciels. 

Ces deux solutions impliquent necessairement qu'au moins un parametre secret connu 
du logiciel filtre F, 62, soit stocke dans le logiciel interpreter 20, 71 . 

Selon la deuxteme solution, le logiciel filtre F, 62 authentifie le logiciel interpreter 20, 
71, selon un processus conventionnel d'authentification, sur la base d'une information 
30 transmise par le logiciel interpreter 20, 71, et combinee avec le parametre secret. Au 
niveau du logiciel interpreter 20, 71, cette procedure d'authentification est mise en ceuvre 
par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la forme de realisation du 
module terminal. 
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Ce m6canisme d 'authentification peut egalement s'appliquer aux messages echanges 
entre les deux logiciels pour construire des codes d'authentification des messages permettant 
de garantir Porigine et Pintegrite de chaque message transmis. 

Dans le cas du mode d'ex£cution decrit k la Figure 4A, cette solution requiert 
5 cependant que, dereference, une protection physique de la liaison entre les deux 
microprocesseurs soft assume pour interdire £ un fraudeur de lire les donnees £chang£es, et 
en particulier le code d 1 identification personnel (PIN) de la carte que Putilisateur peut §tre 
amen£ k introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un parametre secret par le microcontrdleur standard 2 

10 La description precedente montre la n£cessit6 de stocker au moins un parametre secret 

dans le logiciel interpr&eur. Le mode d'ex£cution du terminal k parti r d'un PC, dans lequel 
le logiciel interpr<§teur est execute sur le PC lui-meme, offre done de par la s£curit£ limitee 
du PC un degre de s£curite limite bien que suffisant pour emp£cher un virus de se substituer 
au logiciel interpreter. Un degr£ de s£curite sup£rieur est obtenu en implantant le logiciel 

15 interpr&eur dans la ROM 2c du microcontrdleur standard 2. Pour ameliorer la security le 
parametre secret du microcontrdleur 2 pourra fitre stocke dans la memoire temporaire, et 
cela k la fabrication du produit ou, Sventuellement, lors de Pinsertion du microprocesseur 
s£curis6 3 s'il est amovible, ou d'une carte k circuit int£gre. Cette operation a pour but 
d'6tabiir une confiance entre les deux microprocesseurs. Toute precaution utile doit £tre 

20 • prise lors de cette operation pour s'assurer de ^authenticity du microcontrdleur 2 (operation 
effectuee en usine, operation protegee par des des dites de transport elles-mSmes stockees 
dans la memoire temporaire du microcontrdleur 2 en usine, et dont la connaissance 
conditionne Poperation d'initialisation dudit parametre secret). En outre des mecanismes 
conventionnels de detection d'intrusion (contacts...) seront mis en place, pour provoquer 

25 I'effacement de la memoire temporaire en cas d'intrusion (coupure alimentation...). 

D) Authentication mutuelle et etablissement d'un canal de communication securise 
entre le microprocesseur de la carte k circuit int6gr6 et le microprocesseur securise du 
module terminal 

Cette authentification mutuelle et P etablissement du canal de communication 
30 s6curis£e sont realises par la mise en oeuvre de mecanismes identiques k ceux utilises entre 
le microcontrdleur standard 2 et le microprocesseur securise executant le logiciel filtre 
comme decrit au point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se pr6munir vis-^-vis de toute attaque contre ['ensemble clavier 5, 
35 afficheur 4, microprocesseur securise 3, visant par exemple k effectuer des contrefa?ons de 
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module terminal , k substituer un module terminal par un module terminal contrefait dans le 
but de recup^rer des informations saisies par I'utilisateur (espionnage clavier), d'acceder aux 
secrets d'une carte k circuit integrS, d'effectuer des fausses signatures. 

Pour cela, i! pourra etre ajoute un mScanisme permettant k I'utilisateur d'authentifier 
5 son terminal. 

Cet objectif est atteint grace k un processus de personnalisation automatique. 
Authentication du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe facile k se rappeler 
g6n£re et affiche par le terminal en fonction des param£tres secrets contenus par le ou les 

10 microprocesseurs du terminal, lorsque I'utilisateur introduit un PIN. Si le terminal comporte 
par exemple deux microprocesseurs, le mot de passe est stocke dans le microprocesseur 
securise, chiffre par le PIN et une cle secrete X, puis transmis au microcontr6leur 2 pour 
d£chiffrement avec la cl6 X stockee <§galement dans le microcontrdleur 2 et le PIN introduit 
par I'utilisateur. Ce mecanisme vise a se premunir contre la substitution de I'un des deux 

15 microprocesseurs. 

Le mSme principe peut §tre appliqu<5 k un couple carte/terminal k chaque fois qu'une 
carte k micro-circuit est utiliste avec le module terminal. La personnalisation peut consister 
par exemple en le calcul, au moyen du logiciel de traduction, d'un mot de passe base sur 
une information secrete contenue dans le microprocesseur s6curis6 de la carte et d'une ou 

20 plusieurs informations secretes contenues dans module terminal. Le mfime principe que 
celui decrit ci-dessus peut etre utilise pour calculer le mot de passe. Ce mot de passe, gtnere 
lors de la premiere utilisation du module terminal en conjonction avec la carte et connu de 
I'utilisateur, est affiche sur P&rran .4 lors des utilisations subsequentes du module terminal 
avec la carte. L'utilisateur peut ainsi le verifier et avoir ainsi I'assurance que le terminal en sa 

25 possession, constitu6 du module terminal couple k la carte, est bien authentique. 
F) Authentication de la carte k micro-circuit par le module terminal 
Pour accroitre encore la s6curit6 du systeme de transaction suivant I'invention, un 
processus conventionnel d'authentification peut etre mis en oeuvre afin d'assurer 
I'authentification par le module terminal 1, 101 de la carte k micro-circuit utilisee. Un tel 

30 processus d'authentification permet notamment d'eviter que le numero d'identification 
personnel (PIN) de I'utilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour exporter une transaction s6curis6e, soit capture par une carte falsifiee qui aurait et6 
substitute par un fraudeur k la carte authentique de I'utilisateur puis que ce fraudeur 
r6cup6rerait pour lire le PIN sur la carte falsifiee. L'authentification peut, par exemple, fitre 

35 effectuSe par un mecanisme classique de type d6fi / rtponse au moyen d'un secret partage 
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entre la carte et le module terminal en utilisant une cryptographie synrtetrique ou bien, 
comme cela a de\k ete decrit pr6c£demment, au moyen d'une cle privee stockee par la carte 
permettant le chiffrement du defi ou challenge k I'aide d'un algorithme asyrrtetrique, le 
module terminal vSrifiant la r^ponse k I'aide de sa cl6 publique. 
5 ^architecture du systeme de transaction ainsi que les mecanismes de s6curisation 

d£crits ci-dessus conferent une tr£s grande securite aux transactions effectuges au moyen du 
module terminal 1, 101. 

Ce module terminal permet : 

- gr§ce au clavier 5, k T6cran 4 et k la protection des donnees echangees avec 
10 I'utilisateur, d'&endre la nature des services teellement securis£s que peut fournir une carte k 

micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non s6curis6 (ordinateur 
personnel PC susceptible d'etre affecte par des virus ou programmes pirates), en I'isolant 
hermetiquement de cet environnement grace k une architecture logicielle et/ou materielle 

15 qui contrdle strictement I'acc^s k la carte, c'est k dire qui contrflle les commandes envoyees 
aux fonctions cryptographiques contenues dans la carte. 

Le module terminal peut revgtir differentes formes telles que : 

• un lecteur de carte k circuit integte, connectable k un ordinateur via differentes 
interfaces (PCMCIA...) ou non (connexion k un serveur via modem uniquement) ; 

20 • un ordinateur (PC) dont les interfaces utilisateur sont constitutes par I'ecran et le 

clavier du PC, et qui comporte un lecteur de carte k circuit integte. Ce PC inclura des 
rmoyens logiciels et / ou materiels (tels qu'un second microprocesseur securise, le 
rnicrocontrdleur standard etant constitue par le PC) pour assurer I'integrite et la 
confidentiality du logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 

25 egalement un PDA (* Personal Digital Assistant ' ou Assistant Nunrterique Personnel) ; 

• un clavier, eventuellement muni d'un ecran d'affichage LCD, dans lequel est 
integte un microprocesseur s6curise et une interface carte k circuit integte ; 

• un telephone muni eventuellement d'un afficheur, dans lequel est integte un 
microprocesseur securise et une interface carte k circuit integte ; 

30 • un decodeur (set-top box) de teseau cable de TV integrant un lecteur ce carte k 

circuit integte connects a un poste de television, le poste de television, un clavier ou 
eventuellement la teiecommande associe au decodeur ou k la television servant de 
moyens d'interface avec I'utilisateur ; 

• plus generalement tout equipement securisable par I'integration d'un 
35 microprocesseur securise dans lequel pourra etre installee une application dite sensible, 
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ou par Integration d r une interface carte k circuit integr6 permettant le pilotage dudit 
<§quipement par une application deportee dans une carte k circuit integrS. 

L'ensemble de la description pr6c6dente decrit un terminal destine k Stre utilise 
avec une carte k circuit int<§gr<§ ou "smart card". La carte k laquelle il est fait reference est 
5 en fait un outil permettant la mise en oeuvre de fonctions cryptograph iques et 
personnalis£ par rapport k un utilisateur au moyen d'au moins un secret. II est evident 
que I'objet de invention ne se limite pas k un outil de forme donnee tel que celui de la 
carte k circuit integr£. ^invention couvre aussi la mise en oeuvre de dispositifs personnels 
de s<§curite pouvant offrir des fonctions 6quivalentes k celle d'une carte k circuit integn*, 
10 mais pr&entes sous une forme differente, tels que les produits * iButton " Java Ring * 
ou jeton C token 
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REVENDf CATIONS 

1. Terminal pour la mise en ceuvre, par un utilisateur, de transactions 6lectroniques 
securisees en liaison avec au moins une application implantee sur une unite 6lectronique, 
ledit terminal comprenant ; 

- un module terminal comportant au moins : 

5 * des premiers moyens d'interface avec ladite application pour en recevoir des 

requites relatives auxdites transactions, 

* des deuxtemes moyens d'interface avec ledit utilisateur, 

* des troistemes moyens d'interface avec un dispositif personnel de security 

* des premiers moyens de traitement de donnees comprenant au moins des premiers 
10 moyens logiciels de pilotage desdits moyens d'interface, et 

- un dispositif personnel de securite comportant au moins des deuxtemes moyens de 
traitement de donnees securis£s comprenant au moins des deuxiemes moyens logiciels 
d'ex<*cution de commandes £l£mentaires et des moyens d'execution de calculs cryptograph iques, 

caracterise en ce que : 

15 - ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites requites de ladite 

application (Fap) implantee sur la dite unite Slectronique (Sap ; PC) sous la forme de requfites 
de haut niveau independantes dudit dispositif personnel de s&rurite, 

- Tun au moins dudit module terminal (1; 101) et dudit dispositif personnel de s£curit<§ 
compnend : 

20 * au moins une ntemoire reprogrammable (3d ; 30a ; 102b ; 130a ; Ssec) de 

stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites requites de haut niveau en au 
moins I'une de : 

(i) au moins une. commande glementaire ou une sequence de commandes 
£l6mentaires ex6cutables par lesdits deuxiemes moyens logiciels (80-84) desdits deuxiemes 

25 moyens de traitement de donnees (30 ; 1 30), ou 

(ii) au moins une sequence d'&rhange de donnees entre ledit module terminal (1 ; 101) 
et ledit utilisateur via lesdits seconds moyens d'interface (4, 5), exScutables par lesdits premiers 
moyens logiciels (I, 20, 71 ) desdits premiers moyens de traitement de donnees (2 ; 29 ; 102), 

* des moyens de protection dudit logiciel filtre (F, 62), pour emp£cher toute 
30 lecture et/ou modification dudit logiciel filtre par une entity non autorisee, et 

- I'un au moins desdits premiers et deuxiemes moyens de traitement de donnees (3 ; 29 
, 30 ; 102 ; 130 ; Ssec) comprend un dispositif de traitement de donnees pour I'ex^cution 
dudit logiciel filtre (F, 62). 
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2. Terminal selon la revendication 1, caracteris£ en ce que ledit dispositif d'ex£cution 
du logiciel filtre comprend des premiers moyens d'identification et /ou d'authentification de 
ladite application (Fap) implantee dans ladite unite electronique (Sap; PC) ou de I'origine 
desdites requites emises par ladite application. 
5 3. Terminal selon la revendications 2, caracterise en. ce que ledit dispositif de 

traitement de donnees pour Pex6cution dudit logiciel filtre (F, 62) comprend des moyens de 
verification de I'integrite des donnees re?ues de ladite application (Fap). 

4. Terminal selon Tune quelconque des revendications 1 k 3, caracterise en ce que ledit 
dispositif de traitement de donnees pour ^execution dudit logiciel filtre (F, 62) comprend des 

10 moyens centralises (Ssec) de contrdle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et / ou de I'utilisateur. 

5. Terminal selon Tune quelconque des revendications 1 k 4, caracterise en ce que ledit 
dispositif de traitement de donnees pour ('execution dudit logiciel filtre (F, 62) comprend : 

-des moyens pour commander le chargement securise dudit logiciel filtre dans ladite 
15 m6moire programmable, via Tun desdits premiers ou troistemes moyens d'interface, k partir 
d'une entity exterieure audit module, et 

- des premiers moyens de contrdle d'accfcs pour n'autoriser ledit chargement dudit 
logiciel filtre qu'en reponse k au moins une condition predefinie. 

6. Terminal selon Tune quelconque des revendications 1 k 5, caracterise en ce qu'il 
20 comprend des deuxtemes moyens d'authentification desdits premiers moyens de traitement de 

donnees (2 ; 3 ; 29 ; Ssec) par lesdits deuxtemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon Tune quelconque des revendications 1 k 6, caracterise en ce qu'il . 
comprend des troisfemes moyens d'authentification desdits deuxtemes moyens de traitement 
de donnees (30 ; 130) par lesdits premiers moyens de traitement de donnees (3 ; 29). 

25 8. Terminal selon I'une quelconque des revendications 6 et 7, caracterise en ce qu'il 

comprend uh premier canal de communication (6) entre lesdits premiers (2 ; 3 ; 29) et 
deuxtemes (30 ; 130) moyens de traitement de donnees et des premiers moyens de 
s6curisation dudit premier canal de communication. 

9. Terminal selon I'une quelconque des revendications 1 k 8, caracterise en ce qu'il 
30 comprend des quatrtemes moyens d'authentification dudit module terminal (1 ; 101) par 

ledit utilisateur, independamment dudit dispositif personnel de securite (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits quatri£mes moyens 
d'authentification comprennent des moyens de calcul, par lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29), et de presentation audit utilisateur, via lesdits deuxiemes 

35 moyens d'interface (4), d'un mot de passe connu dudit utilisateur et calcuie sur la base d'au 
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moins un premier param&re secret stocke dans iesdits premiers moyens de traitement de 
donn6es (2 ; 3 ; 29). 

1 1 . Terminal selon Tune quelconque des revendications 1 £ 10, caract£rise en ce qu'il 
comprend des cinqui£mes moyens d'authentification conjointe dudit module terminal (1 ; 

5 1 01 ) et dudit dispositif personnel de security (31 ; 1 3 1 ) par ledit utilisateur. 

12. Terminal selon la revendication 11, caract<§ris£ en ce que Iesdits cinqutemes 
moyens d'authentification comprennent des moyens de calcul, par ledit dispositif 
d'ex£cution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de presentation audit utilisateur, via 
Iesdits deuxtemes moyens d'interface (4), d'un mot de passe connu dudit utilisateur et 

10 calculi sur la base d'au moins un deuxteme et un troisteme param6tres secrets stockes en 
memoire respectivement dans Iesdits premiers (2 ; 3 ; 29) et deuxi^mes (30 ; 1 30) moyens de 
traitement de donnees. 

13. Terminal selon Tune quelconque des revendications 1 k 12, caracterise en ce que 
ledit module terminal (1) comporte ladite memoire programmable (3d) pour le chargement 

15 et le stockage dudit logiciel filtre (F, 62). 

14. Terminal selon la revendication 13, caract£ris6 en ce que ledit logiciel filtre (F, 62) 
g£n£re des premieres commandes pour la mise en oeuvre de ladite sequence d'gchanges de 
donnees entre ledit module terminal (1) et ledit utilisateur, et en ce que Iesdits premiers 
moyens de traitement de donnees comprennent un premier microprocesseur (2 ; 102) de 

20 pilotage desdits moyens d'interface (4-9) programme grace auxdits premiers moyens logiciels 
(20, 71) de pilotage desdits moyens d'interface pour executer lesdites premieres commandes 
gen£rees par ledit logiciel filtre (F, 62), et un deuxteme microprocesseur securise (3) du type 
pour carte & circuit int£gr£ dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel filtre (F, 62) 

25 pour le pilotage de ladite sequence d'echanges de donnees au moyen desdites premieres 
commandes transmises audit premier microprocesseur (2) et pour Papplication de ladite 
commande £l6mentaire ou sequence de commandes 6l<*mentaires auxdits deuxtemes 
moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caract6ris6 en ce que Iesdits premiers moyens 
.30 logiciels (20, 71) de pilotage des moyens d'interface comportent au moins un quatrteme 

param^tre secret, ledit deuxteme microprocesseur (3) £tant command^ par ledit logiciel filtre 
(F, 62) pour authentifier Iesdits premiers moyens logiciels (20, 71) de pilotage des moyens 
d'interface sur la base d'une information transmise par ledit premier microprocesseur (2) et 
combin6e au moins avec ledit quatrteme param£tre secret. 
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16. Terminal selon la revendication 15, caracterise en ce qu'il comprend un deuxteme 
canal de communication (12) entre lesdits premiers moyens logiciels (20, 71) de pilotage des 
moyens d'interface et ledit deuxieme microprocesseur (3) et des deuxi£mes moyens de 
securisation dudit deuxieme canal de communication. 
5 17. Terminal selon la revendication 16, caracterise en ce que lesdits deuxiemes 

moyens de securisation comprennent des moyens de chiffrement et dechiffrement, par 
lesdits premiers moyens logiciels (20, 71) et par ledit deuxieme microprocesseur (3), des 
donnees transmises.sur ledit deuxieme canal de communication (12), sur la base d'au moins 
un cinquieme parametre secret memorise dans lesdits premiers et deuxiemes moyens de 
1 0 traitement de donnees. 

18. Terminal selon Tune quelconque des revendications 16 et 17, caracterise en ce 
que lesdits deuxiemes moyens de securisation comprennent des premiers moyens physiques 
de protection dudit deuxieme canal de communication (12) contre les intrusions. 

19. Terminal selon Tune quelconque des revendications 15 k 18, caracterise en ce 
15 que ledit premier microprocesseur (2) comporte une memoire temporaire (2b) pour le 

stockage dudit parametre secret et des deuxiemes moyens physiques de protection de ladite 
memoire temporaire (2b) contre les intrusions. 

20. Terminal selon I'une quelconque des revendications 14 d 19, caracterise en ce 
que ledit deuxieme microprocesseur (2) est on microcontrfileur. 

20 21 . Terminal selon la revendication 1 3, caracterise en ce que ledit logiciel filtre g£n6re 

des premieres commandes pour la mise en oeuvre de ladite sequence d'echanges de 
donnees entre ledit module terminal et ledit utilisateur et lesdits premiers moyens de 
traitement de donnees comprennent ledit dispositif d'execution du logiciel filtre et sont 
constitu£s par un microprocesseur s£curis£ (29) adapte pour : 
25 * executer ledit logiciel filtre (F, 62) de traduction et de conversion desdites 

requetes de haut niveau en au moins une sequence d'echanges de donnees entre le 
module terminal et I'utilisateur et/ou en au moins une commande eiementaire ou une 
sequence de commandes glementaires ex6cutables par lesdits deuxiemes moyens 
logiciels desdits deuxiemes moyens de traitement de donnees (31), 
30 * piloter lesdits moyens d'interface (4-9) grace auxdites premieres commandes 

gener£es par ledit logiciel filtre, pour la mise en ceuvre de ladite sequence d'echanges 
entre ledit module terminal (1 ) et ledit utilisateur. 
22. Terminal selon la revendication 21, caracterise en ce que ledit microprocesseur 
(29) comporte ladite memoire programmable. 
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23. Terminal selon la revendication 21, caracterisS en ce que ladite memoire 
programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracteris^ en ce que ledit logiciel filtre (F, 62) 
est stocke sous forme chiffree dans ladite memoire programmable et en ce que ledit 

5 microprocesseur (29) comprend des moyens pour lire, d&rhiffrer et executer ledit logiciel filtre. 

25. Terminal selon I'une quelconque des revendications 14 k 24, caracterisS en ce 
que lesdits deuxtemes moyens de traitement de donnees dudit dispositif personnel de 
securite (31) comprennent un deuxteme dispositif de traitement de donnees (30) pour 
('execution securisee d'un logiciel filtre et une memoire programmable (30a) pour le 

10 chargement et le stockage dudit logiciel filtre (62), lesdits premiers moyens logiciels desdits 
premiers moyens de traitement de donnees 6tant adapts pour recevoir lesdites commandes 
pour la mise en oeuvre de ladite sequence d'6change de donnees indifferemment de Tun ou 
I'autre desdits dispositifs (3 ; 29 ; 31) d'execution de logiciel filtre implants dans ledit 
module et ledit dispositif personnel de securite respectivement. 

1 5 26. Terminal selon Tune quelconque des revendications 1 3 k 25, caracterise en ce que : 

- ledit logiciel filtre (F, 62) comprend au moins un param£tre secret, 

- lesdits deuxtemes moyens de traitement (30) de donnees comprennent des seconds 
moyens de contrdle d'acc^s conditionnels pour n'autoriser ^execution desdits calculs 
cryptograph iques, en reponse k des commandes elementaires generees par ledit logiciel filtre 

20 (F, 62), que si au moins une seconde condition pr&tefinie, fonction dudit param&re secret est 
remplie. 

27. Terminal selon I'une quelconque des revendications 1 £ 12, caracterise en ce que 
ledit dispositif personnel de securite (131) comporte ladite memoire programmable (130a) 
pour le chargement et le stockage dudit logiciel filtre (F, 62). 

25 28. Terminal selon la revendication 27, caracterise en ce que ledit logiciel filtre (F, 62) 

gen£re des premieres commandes pour la mise en oeuvre de ladite sequence d'echanges de 
donnees entre ledit module terminal (1) et ledit utilisateur et ce que lesdits premiers moyens 
de traitement de donnees comprennent un premier microprocesseur (2 ; 102) de pilotage 
desdits moyens d'interface (4-9), programme grace auxdits premiers moyens logiciels (20, 

30 71), pour executer lesdites premieres commandes, g6n6r6es par ledit logiciel filtre (F,62), et 
lesdits deuxi£mes moyens de traitement de donnees comprennent un deuxi£me 
microprocesseur s6curise (130) du type pour carte k circuit integre dispose dans ledit 
dispositif personnel de securite (131) et comportant ladite memoire programmable (130a), 
ledit second microprocesseur (130) executant (i) ledit logiciel filtre (F, 62) pour le pilotage de 

35 ladite sequence d'6changes de donnees au moyen desdites premieres commandes 
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transmises audit premier microprocesseur (2 ; 102), ainsi que (ii) lesdites commandes 
6lementaires. 

29. Terminal selon les revendications 6 et 28, caracterisS en ce que lesdits premiers 
moyens logiciels (20, 71) de pilotage desdits moyens d'interface comportent au moins un 

5 param£tre secret et ledit second microprocesseur (130) dudit dispositif personnel de s6curite 
(131) est commands par ledit logiciel filtre (62) pour authentifier ledit premier 
microprocesseur (2) sur la base d'une information transmise par ledit premier 
microprocesseur (2) et combinee au moins avec ledit param6tre secret. 

30. Terminal selon Tune quelconque des revendications 28 et 29, caracterise en ce 
10 que ledit deuxieme microprocesseur (130) dudit dispositif personnel de securite (131) est 

adapts pour commander le chargement dudit logiciel filtre (F, 62) dans ladite memoire 
programmable (130a) via lesdits premiers moyens d'interface (7-9) et lesdits troistemes 
moyens (6) d'interface avec ledit dispositif personnel de securite (131). 

31. Terminal selon Tune quelconque des revendications 13 k 30, caracterise en ce 
15 que ledit module terminal (1 ; 101) est constitue par un lecteur de carte k circuit integre et 

ledit dispositif personnel de securite est une carte k circuit integre (31 ; 131). 

32. Terminal selon la revendication 13, caracterise en ce que ledit module terminal (1) 
comprend un ordinateur personnel (102) et en ce que ladite memoire reprogrammable est 
constitute par le disque dur (1 02b) dudit ordinateur. 

20 33. Terminal selon la revendication 32 et I'une quelconque des revendications 14 a 

17, caracterise en ce que ledit premier microprocesseur est constitue par le microprocesseur 
(102c) dudit ordinateur personnel (102), ledit ordinateur personnel (102) etant en outre 
interface audit microprocesseur s6curis£ (3). 

34. Terminal selon la revendication 32, caracterise* en ce que ledit logiciel filtre (F) 
25 comprend un premier module de chargement/d^chiffrement (Fed) et un deuxieme module 

chiffe (Fchi) pour ladite traduction des requites de haut niveau,' ledit premier module (Fed) 
commandant le chargement dudit deuxteme module (Fchi) en memoire RAM dudit ordinateur 
(1 02) et son dechiffrement pour Textcution dudit logiciel filtre par ledit ordinateur. 

35. Terminal selon la revendication 32, caracterise en ce que ledit logiciel filtre (F) 
30 comprend au moins un premier module (F-PQ implante sur ledit ordinateur personnel (1 02) et au 

moins un deuxteme module (F-SE) implante sur un serveur de securite (Ssec), ledit ordinateur 
personnel (102) et ledit serveur de securite (Ssec) etant connectes par un canal de communication 
s6curise (CS) permettant un ^change de donn6es protege entre lesdits modules. 

36. Terminal selon Tune quelconque des revendications 32 & 35, caracterise en ce 
35 que ledit dispositif personnel de s£curite (31) est une carte k circuit integrt. 
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37. Systeme pour la mise en oeuvre de transactions s£curis6e, caracterise en ce qu'il 
comprend au moins un terminal (1, 31 ; 101, 131) selon I'une quelconque des 
revendications 1 a 36, et au moins une unite §lectronique (Sap ; PC) comportant des moyens 
pour transmettre lesdites requfitesde haut niveau audit terminal (1, 31 ; 101, 131). 
5 38. Systeme selon la revendication 37, caracterise en ce qu'il comprend une plurality 

de terminaux (1, 31 ; 101, 131), au moins un serveur (S) constituant ladite unite 
Slectronique, et des moyens (CR) de transmission de donn^es nurrteriques entre ledit serveur 
(S) et lesdits terminaux. 
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